Avrupa Birliği’nin en önemli gizlilik rejimi olan Genel Veri Koruma Yönetmeliği’nin (GDPR) en güçlü teknoloji devleri üzerindeki uygulanma durumu, devam eden bir tartışma konusu olmaya devam ediyor. Aşağıda, düzenlemenin Mayıs 2018’de uygulanmaya başlamasından bu yana Big Tech’e uygulanan en büyük 10 GDPR cezasının bir listesini derledik.
Facebook, Instagram ve WhatsApp’ın sahibi Meta, bugüne kadarki en büyük cezayı alarak listenin başında yer alıyor (1,2 milyar Euro veya mevcut döviz kurlarına göre yaklaşık 1,31 milyar dolar). Ve çünkü bu en büyük cezaların çoğunluğunu oluşturuyor (platform başına sayıp saymadığınıza bağlı olarak altı veya daha fazla).
Lütfen bu listenin yalnızca GDPR kapsamında teknoloji firmalarına verilen büyük cezaları içerdiğini unutmayın. Son yıllarda bloğun eski e-Gizlilik Yönergesi aracılığıyla Büyük Teknoloji’ye de bazı önemli yaptırımlar uygulandı, ancak bunları burada listelemeyeceksiniz.
GDPR kapsamında teknoloji firmalarına verilen cezalar
1. Meta (Facebook): Facebook kullanıcılarının kişisel verilerinin Avrupa Birliği dışına aktarılmasına ilişkin kuralların ihlal edilmesi nedeniyle İrlanda Veri Koruma Komisyonu (DPC) tarafından Mayıs 2023’te 1,2 milyar Euro (~1,31 milyar ABD Doları) para cezasına çarptırıldı.
2. Amazon: Kişisel verilerin reklam hedefleme için kullanımının izne dayalı olmadığı yönündeki şikayetlerin ardından Temmuz 2021’de Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD) tarafından 746 milyon Euro (~815 milyon ABD Doları) para cezasına çarptırıldı.
3. Meta (Instagram): Eylül 2021’de İrlanda DPC’si tarafından reşit olmayanlara ait verilerin işlenmesindeki başarısızlıklar nedeniyle 405 milyon Euro (~443 milyon $) para cezasına çarptırıldı.
4. Meta (Instagram ve Facebook): Ocak 2023’te, reklam hedefleme için kullanıcı verilerini işlemeye yönelik geçerli bir yasal dayanağa sahip olmadığı için İrlanda DPC tarafından toplam 390 milyon Euro (~426 milyon $) tutarında para cezasına çarptırıldı.
5. ByteDance (TikTok): Eylül 2023’te İrlanda DPC’si tarafından reşit olmayanlara ait verilerin işlenmesindeki başarısızlıklar nedeniyle 345 milyon Euro (~377 milyon $) para cezasına çarptırıldı.
6. Meta (Facebook ve Instagram): Kasım 2022’de İrlanda DPC’si tarafından, varsayılan veri koruma ihlalleri ve iletişim içe aktarıcı ve arama araçları da dahil olmak üzere belirli platform özelliklerinin yüz milyonlarca kullanıcının kişisel verilerini herkes tarafından keşfedilebilir hale getirmesinin ardından tasarım nedeniyle 265 milyon Euro (~290 milyon ABD Doları) para cezasına çarptırıldı diğer kullanıcılar.
7. Meta (WhatsApp): GDPR şeffaflık yükümlülüklerini ihlal ettiği ve kullanıcılara verilerini nasıl işlediğini net bir şekilde anlatamadığı için İrlanda DPC tarafından Eylül 2021’de 225 milyon Euro (~246 milyon $) para cezasına çarptırıldı.
8. Alfabe/Google (Android): Ocak 2019’da Fransa Ulusal Bilişim ve Özgürlük Komisyonu (CNIL) tarafından, Android mobil platformuyla ilgili şeffaflık ve izin eksiklikleri nedeniyle 50 milyon Euro (~55 milyon ABD Doları) para cezasına çarptırıldı.
9. Meta (Facebook): 30 milyona kadar kullanıcıyı etkilediği düşünülen bir dizi güvenlik ihlali nedeniyle Mart 2022’de İrlanda DPC’si tarafından 17 milyon Euro (~18,5 milyon ABD Doları) para cezasına çarptırıldı.
10. ByteDance (TikTok): Nisan 2023’te Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) tarafından küçük korumayla ilgili başka bir davada mevcut döviz kurları üzerinden yaklaşık 14,8 milyon Euro (~16 milyon $) para cezasına çarptırıldı. (Not: Birleşik Krallık artık AB’de olmamasına rağmen veri koruma kuralları hâlâ GDPR’ye dayanmaktadır.)
Kesinlikle Büyük Teknoloji değil ama bahsetmeye değer
Adtech devi Criteo Ağustos 2022’de Fransız CNIL tarafından bir dizi GDPR ihlali nedeniyle 60 milyon Euro (~ 65 milyon $) ön para cezasına çarptırıldı. Ancak Haziran 2023’te, reklam teknolojisi devinin beyanlarda bulunmasının ardından ceza seviyesi 40 milyon Euro’ya (~44 milyon $) düşürüldü. Yaptırım, Criteo’nun kullanıcıların reklam hedefleme için onları izleme ve profil oluşturma iznine sahip olmadığı yönündeki şikayetlerin ardından geldi.
Bahsedilen bir diğer bonus: ABD merkezli yapay zeka girişimi Clearview AI İtalya, Yunanistan ve Fransa’daki veri koruma yetkilileri tarafından 2022’de tam üç kez mümkün olan en yüksek para cezasına çarptırıldı (gelirine göre 20 milyon Euro veya yaklaşık 22 milyon dolar). Yaptırımlar, yüz tanıma, kimlik eşleştirme yapay zeka aracını eğitmek için internetten selfie’leri kazıma taktiğinin bir sonucu olarak yasa dışı veri işlemeye yönelikti. Aynı yıl, İngiltere’nin ICO’su da GDPR ihlallerine karşı daha küçük bir yaptırım uyguladı, bu nedenle tartışmalı startup’ın faaliyetleri çok fazla yaptırıma maruz kaldı.
Kaynak: https://techcrunch.com/2024/08/10/the-10-largest-gdpr-fines-on-big-tech/