Veri Koruma Otoriteleri Yıllık Rapor Özetleri

Giriş

Yazımızda farklı veri koruma otoritelerinin 2021 yılı faaliyet raporları mercek altına alınmıştır. 

a. İrlanda Veri Koruma Komisyonu (Data Protection Commission “DPC”) 2021 yılı yıllık faaliyet raporu

24 Şubat 2022 tarihinde yayınlanan İrlanda veri koruma otoritesi yıllık raporunda öne çıkan başlıklar şu şekildedir;

• DPC, 2021’de bireylerden 7.469 sorgu talebi ve 3.419 şikayet  almıştır (2020 rakamlarına göre %7’lik bir artış  mevcut)
• DPC, 2021’den önce alınan 1.884 şikayet dahil olmak üzere 7.081 sorgu talebi ve 3.564 şikayeti sonuçlandırmıştır.
• 2021 yılında alınan toplam veri ihlal bildirimi 6.549 adettir. Kaydedilen toplam ihlal vakalarının %95’i 2021’de sonuçlanmıştır (6.274 vaka) 

• DPC, 5 büyük ölçekli soruşturmayı sonuçlandırmıştır: AB ortak karar alma sürecine 4 taslak karar göndermiş; DPC’nin kesin karara bağladığı bir hususu AB uyuşmazlık çözüm mekanizmasına devretmiş; düzenlemeye tabi kuruluşlara ve şikayetçilere sunulmak üzere 9 karar taslağı daha yayınlamış ve 17 soruşturmada ilgili taraflardan sorun bildirimleri veya soruşturma raporları hakkında sunum istemiştir. 

• DPC, Eylül ayında WhatsApp Ireland Ltd. hakkında yürüttüğü bir GDPR soruşturmasının sonuçlandığını duyurmuş, WhatsApp’ın işleme sürecini uyumlu hale getirmesi kararına ek olarak WhatsApp’a 225 milyon Euro para cezası vermiştir. 
• 2021’de 138 elektronik doğrudan pazarlama soruşturması sonuçlanmıştır ve iki telekom şirketi, yazışmayı devre dışı bırakan müşterilerle sürekli iletişim kurmaktan yargılanmıştır.
• Aralık 2021’de DPC, İrlanda’daki Siyasi Partilerin Veri Koruma Denetimini yayınlamıştır. Rapor, İrlanda’daki yirmi altı kayıtlı siyasi partide DPC tarafından bu yıl gerçekleştirilen veri koruma denetimlerinin ardından derlenmiştir.
• 2021’de DPC,  Veri İşleme Sürecine Çocuk Odaklı Bir Yaklaşım yayınlayarak, çocuklara ait verilerin işlenmesiyle ilgilenen kuruluşlara ihtiyaç duyulan rehberliği vermiştir.

 

Şekil1 Kategori bazında veri ihlal bildirimlerini gösterir tablo (kaynak)

b. Fransa Veri Koruma Otoritesi (Commission Nationale de l’Informatique et des Libertés “CNIL”) 2021 yılı yıllık faaliyet raporu

4 Şubat 2022 tarihinde yayınlanan Fransa Veri Koruma Otoritesi  yıllık faaliyet raporu şu şekildedir; 

• Toplam 214.106.000 Avroluk 18 yaptırım uygulanmış,  bunlardan 12’si halka arz edilmiştir
• Bu yaptırımların; 15’i para cezası (5’i ihtiyati tedbirle) ve 2’si ihtiyati tedbirle kınama içermektedir. 
• İlk kez, bir ceza ödemesinin (yani, CNIL tarafından verilen bir emre uyulmaması nedeniyle bir meblağın ödenmesi) tasfiye edilmesi kararı alınmıştır.
• Başlangıçta 7.300 avro para cezasına çarptırılan bir şirket, yaptırım kararında talep edilen veri işleme sürecinde değişiklik yapmadığı için 65.000 avroluk ek bir ceza ödemesi yapmak zorunda kalmıştır.
• 2021 yılında verilen kararlar çok çeşitli sektörleri ve oyuncuları ilgilendirmektedir. En sık görülen ihlaller; bireylere bilgi verilmemesi ve aşırı saklama süreleridir (ilgili  tablo) 

Uygulanan 18 yaptırımın yarısı, kişisel verilerin güvenliğiyle ilgili  iki şeyi göstermektedir:

• kuruluşlar tarafından alınan güvenlik önlemleri genellikle yetersizdir. 
• CNIL, bir inceleme gerçekleştirirken bilgi sistemlerinin güvenliğini sistematik olarak kontrol eder.

• Son olarak, dört yaptırım ise çerezlerin ve diğer izleyicilerin yanlış yönetimi ile ilgilidir.

Avrupadaki diğer veri koruma otoriteleriyle işbirliği içinde olarak 4 CNIL kararı kabul edilmiştir. Aynı zamanda, CNIL, Fransız vatandaşlarının dahil olduğu işleme operasyonlarına ilişkin Avrupadaki diğer veri koruma otoritelerinden alınan 17 taslak kararı incelemiştir.

Şekil2 2021 CNIL Yaptırımlarını gösterir tablo (kaynak)

• 2021’de rekor sayıda karar emrine ulaşılmış, bunlardan 2’si kamuya açıklanmış (Clearview ve Francetest) ve 3’ü  Avrupa ile işbirliği çerçevesinde kabul edilmiştir. Bu, önceki yıllara kıyasla uyulması gereken karar sayısında çok önemli bir artışı temsil etmektedir.
• Bu emirlerin büyük bir kısmı, çerez konusuyla ilgilidir: 89 karar, çerezlerin kullanımına ilişkin bir ihlal içermektedir (84’ü tamamen bu konuya ayrılmıştır)
• Aynı zamanda CNIL, kuruluşların işlemlerini uygun hale getirmek için gerçekleştirdiği eylemlerin incelenmesini takiben 123 davayı sonuçlandırmıştır.

c. İngiltere Veri Koruma Otoritesi (Information Commissioner’s Office “ICO”) 2020/21 yılı yıllık faaliyet raporu

7 Temmuz 2021 tarihinde yayınlanan İngiltere veri koruma otoritesi yıllık raporunda öne çıkan başlıklar şu şekildedir;

• ICO Yıllık raporu 3 bölüm şeklinde sunulmuştur. İlk bölüm, 2020/21’deki çalışmaların gözden geçirildiği Performans raporudur. İkinci bölüm, beyannamelerin yer aldığı Hesap Verebilirlik raporudur. Son olarak, mali performansı içeren Mali tablolar yıllık raporda yer almaktadır.
• ICO, koronovirüs pandemisi gibi istisnai durumlarda esnekliği kabul ederek,  pandemi sırasında hoşgörülü yaklaşımını ortaya koymuştur. Bu kapsamda ICO,  2020/21’de sadece üç GDPR cezası vermiştir:

• Ticketmaster UK Limited, müşterilerinin ödeme ayrıntılarını korumadığı için 1,25 milyon sterlin para cezasına,
• British Airways, veri ihlali nedeniyle 20 milyon sterlin para cezasına,
• Marriot International Inc.’e 18,4 milyon sterlin para cezasına çarptırılmıştır.

• Ayrıca ICO, 4 ayrı şirkete milyonlarca rahatsız edici aramalar yaptıkları için toplam 480.000 £ para cezası vermiştir.
• ICO 2020/21 yıllarında toplam 9,532 kişisel veri ihlali kaydetmiştir. Kaydedilen toplam ihlal vakalarının 9,303’ü sonuçlanmıştır.

Şekil3 ICO Kişisel veri ihlal oranlarını gösteren tablo (kaynak)

 

d. Danimarka Veri Koruma Otoritesi (Datatilsynet) 2021 yılı yıllık faaliyet raporu

9 Mart 2021 tarihinde yayınlanan Danimarka veri koruma otoritesi yıllık raporunda öne çıkan başlıklar şu şekildedir;

• Datatilsynet yıllık raporunda,  2021 yılı boyunca yürüttüğü faaliyetleri, ele aldığı belirli vakalara ilişkin bilgileri ve istatistikleri detaylandırmıştır. İstatistiksel bilgiler, Datatilsynet’in aldığı şikayetlerin sayısını ve bir önceki yıl boyunca gerçekleştirdiği araştırmaların sayısını içermektedir.

Şekil4 Danimarka Veri Koruma Otoritesi Raporu Özeti (kaynak)

• Danimarka Veri Koruma Ajansı, 2021’de toplam 17.291 yeni vaka kaydetmiştir.

Şekil5 2021 yılı Danimarka Veri Koruma Otoritesi vakaların dağılımını gösterir tablo (kaynak)

• Kişisel verilerin güvenliğine ilişkin kamu kurum kuruluşlarından 5068, özel kurum kuruluşlardan 3458 ve diğer kuruluşlardan 28 olmak üzere toplamda 8,554 vaka rapor edilmiştir.

Şekil6 kişisel veri güvenliği ihlal raporlarının dağılımını gösterir tablo (kaynak)

• 2020’de ise Danimarka Veri Koruma Otoritesi kişisel veri güvenliğinin ihlaline ilişkin yaklaşık 9.000 rapor almıştır. Rapor edilen ihlallere ilişkin olarak, Kurum, yeterli güvenlik kuralları da dahil olmak üzere veri koruma kurallarına uyulmaması riskinin en yüksek olduğu bir dizi alan belirlemiştir.

Bu kapsamda Danimarka Veri Koruma Otoritesi 2021’de aşağıdaki alanlarda güvenliği denetlemeye karar vermiştir:

•  erişim ve hak yönetimi,
• BT geliştirme ve test etme ile bağlantılı olarak kişisel verilerin kullanımı,
• özel BT sistemlerinden “çıkarılan” kişisel verilerin işlenmesi, örn. taşınabilir elektronik ortamda veya kağıt vb. (çıktı malzemesi),
• kişisel veri güvenliği ihlallerinin ilgili kurallara uygun olarak ele alınıp alınmadığı ve rapor edilip edilmediği 

Sonuç

Bir önceki yıla oranla 2021 yılında Veri Koruma Otoritelerinin veri ihlallerine yönelik daha fazla soruşturma ve buna binaen karar sonuçlandırdığını görmekle birlikte, 2021 yılında yine şirketlere/kamu kurum kuruluşlara kişisel veri ihlallerine yönelik olarak ağır para cezaları verildiğini ve buna ilişkin yaptırım/önlem mekanizmalarının oluşturulduğunu görmekteyiz. Bu kapsamda raporlarda genel anlamda yer alan husus, Veri Koruma Otoritelerinin bir dizi kamuoyu araştırması yapmakta olduğu  ve ihlalleri önleme mekanizmaları oluşturmakta olduğudur.

Şekil7 Ülke bazında toplam veri ihlal bildirimi sayıları

Şekil8 Veri Koruma Otoriteleri tarafından şirketlere verilen para cezaları

Daha fazla okuma için;