Genel Veri Koruma Yönetmeliği'nin (GDPR) yürürlüğe girmesinin üzerinden yedi yıl geçtikten sonra, gizlilik mevzuatının kağıt üzerinde bir kaplan değil, kuruluşları şeffaf, dikkatli ve hesap verebilir olmaya zorlayan güçlü bir gerçeklik olduğu açıkça görülüyor. 2018'den bu yana, Hollanda Veri Koruma Kurumu, yalnızca büyük teknoloji şirketlerine değil, spor federasyonlarına, siyasi partilere ve hatta hükümete de onlarca para cezası uyguladı. Aşağıda, GDPR'nin pratikte nasıl uygulandığını ve işler ters gittiğinde neler olduğunu net bir şekilde gösteren yedi çarpıcı vakayı ele alıyoruz.
Para cezası 1: Uber veri ihlalini çok geç bildirdi (600.000 €)
2016 yılında Uber, dünya çapında 57 milyon kullanıcının verilerinin, aralarında 174.000 Hollandalı vatandaşın da bulunduğu kişilerin verilerinin açığa çıktığı büyük ölçekli bir veri ihlalinin kurbanı oldu. İsimler, e-posta adresleri ve telefon numaraları da dahil olmak üzere kişisel bilgiler bilgisayar korsanlarının eline geçti. Uber, 100.000 dolarlık bir sus payı ödemeyi ve durumu gizli tutmayı tercih etti. Bu, yasal bildirim yükümlülüğünün ciddi bir ihlaliydi. Olay ancak bir yıl sonra ortaya çıktı. Hem Hollanda Veri Koruma Kurumu'na hem de etkilenen taraflara derhal bildirimde bulunmak zorunlu olduğundan, bir ihlal meydana gelmişti. Sonuç olarak, Veri Koruma Kurumu 600.000 € para cezası verdi. Sızıntı GDPR'nin yürürlüğe girmesinden önce gerçekleşmiş olsa da, o zaman da (Kişisel Verilerin Korunması Kanunu'na dayalı) bir bildirim yükümlülüğü zaten mevcuttu. Bu olay, işlerin nasıl yapılmaması gerektiğine dair klasik bir örnek olarak kabul edilmektedir.
Para cezası 2: Haga Hastanesi'nde yetersiz güvenlik (€350.000)
Haziran 2019'da HagaZiekenhuis, tıbbi verilerin güvenliğindeki yapısal eksiklikler nedeniyle 460.000 € para cezasına çarptırıldı . Hollanda Veri Koruma Kurumu, hastanenin yıllardır hasta kayıtlarına erişim için iki faktörlü kimlik doğrulama kullanmadığını tespit etti. Kayıt dosyaları da neredeyse hiç kontrol edilmiyordu. Bu, hastanenin hassas bilgilere kimin eriştiğini yeterince doğrulayamadığı anlamına geliyordu. İhlal, tedavi ilişkisi olmayan birkaç çalışanın tanınmış bir Hollandalı ünlünün tıbbi dosyasını görüntülediğinin ortaya çıkmasının ardından gün yüzüne çıktı. Sonuç olarak, temyiz üzerine ceza 350.000 €'ya indirildi.
3. Para Cezası: KNLTB, üyelerinin kişisel verilerini sponsorlara sattı (525.000 €)
20 Aralık 2019'da, Hollanda Kraliyet Çim Tenisi Birliği (KNLTB), üyelerinin kişisel verilerini ticari taraflara yasa dışı olarak sağladığı için 525.000 € para cezasına çarptırıldı. Birlik, üyelerinin verilerini iki sponsora satarak, bu sponsorların üyelere pazarlama teklifleri sunmasını sağlamıştı. Bu, kişisel verilerin paylaşımı için bir "vazgeçme" düzenlemesi içeriyordu. Dahası, işleme "meşru menfaat"e dayanıyordu, yani bireysel rıza alınmamıştı. Hollanda Veri Koruma Kurumu (haklı olarak) tamamen ticari bir amacın bu yasal dayanak için yeterli gerekçe oluşturmadığına karar verdi. Düzenleyiciye göre, birlik veri sahiplerinden önceden rıza almalıydı.
4. Para Cezası: PVV Overijssel, siyasi tercihlerini istemeden kamuoyuna açıkladı (7.500 €)
16 Haziran 2020'de Hollanda Veri Koruma Kurumu (AP), PVV'nin Overijssel şubesine veri ihlalini bildirmemesi nedeniyle 7.500 € para cezası verdi. Sebep, 101 kişiye gönderilen bir e-posta davetiyesiydi; davetiyenin "Kime" alanında tüm alıcılar görünüyordu. Davetiyenin niteliği göz önüne alındığında, bu durum alıcıların siyasi tercihlerini gösterebilirdi . Siyasi tercih, GDPR kapsamında daha katı kuralların uygulandığı özel bir kişisel veri kategorisi olarak kabul edilir. Hata fark edilmiş ve özür dilenmiş olmasına rağmen, denetim makamına bildirim yapılmamıştı. AP bunu GDPR'nin 33. maddesinin ciddi bir ihlali olarak değerlendirdi. Başlangıçtaki para cezası kategorisinde 525.000 €'luk bir taban tutar vardı, ancak kuruluşun sınırlı mali kapasitesi nedeniyle bu tutar nihayetinde 7.500 €'ya düşürüldü. Bu olayla AP, daha küçük kuruluşların bile bildirim yükümlülüğünün ihlali söz konusu olduğunda denetimden kaçamadığını göstermiştir.
Para cezası 5: LocateFamily'ye kişisel verilerin izinsiz olarak yayınlanması nedeniyle (€ 525.000)
Aralık 2020'de, LocateFamily.com web sitesi Hollanda Veri Koruma Kurumu (AP) tarafından 525.000 € para cezasına çarptırıldı. Sebep: Platform, yüz binlerce Hollanda vatandaşının kişisel verilerini, rızaları olmadan ve Avrupa Birliği içinde bir temsilci atamadan yayınlamıştı. Bu, Avrupa kullanıcılarını hedefleyen yabancı kuruluşlar için zorunludur. Böyle bir iletişim noktasının olmaması nedeniyle, ilgili kişiler verilere erişme veya silme hakkı gibi gizlilik haklarını kullanamadılar. Toplamda, yaklaşık 700.000 Hollanda vatandaşı sitede, bazen adları, adresleri ve telefon numaralarıyla birlikte listelenmişti. Dikkat çekici bir şekilde, bu önemli para cezası hiçbir zaman tahsil edilmedi. AP, LocateFamily'nin nerede yerleşik olduğunu belirleyemedi.
kullanmaları nedeniyleolmadanderecelendirme
Kasım 2022'de, Ulusal Polis, Rotterdam'da Mobil Kamera Araçlarının (MCA) konuşlandırılmasıyla ilgili Veri Koruma Etki Değerlendirmesi (DPIA) eksikliği nedeniyle 50.000 € para cezasına çarptırıldı. Bu araçlar, koronavirüs krizinin başlangıcında, diğer şeylerin yanı sıra, toplu buluşma yasağını uygulamak için kullanıldı. MCA'lar kamusal alanlarda insanları filme alabileceği için, önceden bir risk analizi yapılması zorunluluğu vardı. Mahkeme daha sonra, kişisel verilerin işlenmesinin yalnızca bir gün gerçekleştiği gerekçesiyle cezayı 30.000 €'ya indirdi. Teknolojinin kendisi yeni olmasa da, mahkeme bu özel mobil gözetim bağlamında kullanımının vatandaşların gizliliği açısından riskli olduğuna karar verdi.
Para cezası 7: Kaldırma taleplerini görmezden gelen "Hırslı Kişiler"e (6.000 €)
2020 yılında, işe alım şirketi Ambitious People, üç veri silme talebini düzgün bir şekilde ele almadığı için 6.000 € para cezasına çarptırıldı. Şirketin bir gizlilik politikası ve toplamda 650'den fazla talebi doğru bir şekilde işleme koymasına rağmen, Hollanda Veri Koruma Kurumu tarafından yapılan bir soruşturma, üç kişinin verilerinin silinmesi için tekrar tekrar ve başarısız bir şekilde talepte bulunduğunu ortaya çıkardı. Hatta taleplerinden sonra bile iş ilanları konusunda tekrar iletişime geçildiler. Devlet Konseyi, hatanın birden fazla yan kuruluşta meydana gelmesi nedeniyle kısmen ihmalkarlık olduğuna karar verdi. Ayrıca, Veri Koruma Kurumu tarafından daha önce gönderilen uyarı mektupları dikkate alınmadı veya yeterli takip yapılmadı. İç politika da pratikte yetersiz kaldı.
MKB Juristen'in yardımıyla ağır para cezalarından kaçının
Tartışılan para cezaları, GDPR'nin kapsamını ve çok uluslu şirketlerden spor federasyonlarına, siyasi partilerden devlet kurumlarına kadar çeşitli kuruluşlar üzerindeki etkisini göstermektedir. Dikkat çeken nokta, para cezalarının yalnızca kasıtlı ihlaller için değil, aynı zamanda ihmal, bilgisizlik veya basitçe kötü organizasyon için de uygulanmasıdır. Tüm bu durumlarda, vatandaşın korunması en önemli önceliktir. Ayrıca, Hollanda Veri Koruma Kurumu'nun yalnızca bir denetleyici değil, aynı zamanda bir eğitimci olarak da hareket etmesi dikkat çekicidir. İşbirliği yapan, hataları kabul eden ve süreçlerini iyileştirenler genellikle orta düzeyde bir yaptırımla kurtulurlar. Ancak, bunu yapmayanlar ağır şekilde cezalandırılır. Bu nedenle, Hollanda Veri Koruma Kurumu'ndan bir uyarı mektubu alan herkesin derhal hukuki yardım alması akıllıca olacaktır. MKB Juristen'deki uzmanlar size yardımcı olmaktan mutluluk duyacaktır.
