17 Ara 2020

AVRUPA BİRLİĞİ VERİ KORUMA KURUMU-GDPR-TWITTER


Avrupa Veri Koruma Kurumu (EDPB), GDPR’ın 65. maddesinde düzenlenen uyuşmazlıkların kurul tarafından çözümlenmesine ilişkin süreci ilk defa Twitter’ın dahil olduğu bir soruşturmada kullandı.

Alınan kararla Twitter, Android uygulamasındaki bir hatanın bazı kullanıcıların korumalı tweet'lerinin ifşa olup kamuya açılmasına neden olması üzerine 450.000 € (548.000 $) para cezasına çarptırıldı.

Para cezası, Avrupa Birliği'nin kapsamlı veri koruma ve gizlilik yasalarının (GDPR) ihlali nedeniyle EDPB tarafından verilen ilk sınır ötesi kararı temsil ediyor.

2014 yılında uygulamanın kodundaki bir değişiklikte oluşan hata sonucu, Twitter’ın kendi araştırması sonucunda edindiği bilgiye göre yaklaşık 89.000 Avrupa Birliği vatandaşı kullanıcının korumalı tweetlerinin, 2017 ile 2019 arasında halka açıklandığı tespit edilmiş.

Bu hata Aralık 2018'in sonlarında, sosyal medya ağının hata raporlama programını yöneten harici bir uzman tarafından keşfedildi. Twitter, hatayı Ocak 2019'un başlarında İrlanda Veri Koruma Kurulu’na (DPC) bildirdi ve konu üzerinden soruşturma başlatıldı.

Twitter, Twitter üzerinden yaptığı açıklamada, "Bu hatanın tüm sorumluluğunu üstleniyoruz ve meydana gelen sorunları hızla ve şeffaf bir şekilde kamuoyunu bilgilendirme çalışmalarımız dahil olmak üzere müşterilerimizin gizliliğini ve verilerini korumaya tamamen bağlıyız" dedi.

Olayı araştırırken DPC, Twitter'ın veri ihlallerinin tespit edildikten sonra, en geç 72 saat içinde rapor edilmesi gerektiğine ilişkin GDPR kurallarını ihlal ettiğini tespit etti. Sosyal medya şirketi, gecikmenin "24 Aralık 2018 ile 01.01.2019 arasındaki sıkışıklığın beklenmedik bir sonucu" olduğunu söyledi. Ayrıca ifşa olunan verilerin neler olduğuna, yaşanan güvenlik açığına ilişkin ne tarz tedbirlerin alındığına kayıtlamanın eksik yapılmış veya yapılmamış olduğunun da tespit edilmesi, kural ihlali olarak değerlendirilmiştir.

DPC, başlangıçta Twitter'a GDPR kurallarını ihlal ettiği için 150.000 ila 300.000 ABD Doları arasında para cezası uygulanmasına yönelik taslak kararını diğer üye ülke komisyonlarına iletti. Diğer ulusal düzenleyiciler, para cezasının miktarına itiraz edip 30 milyon Dolar’a kadar çıkabilecek bir ceza uygulanmasına davet ettiler. Sonuçta EDPB, 9 Kasım 2020 tarihli kararı ile Twitter İrlanda şirketine 450k € para cezası uygulanması için DPC’ye konunun iletilmesine karar verdi. Buna esas alan DPC de, 13 Aralık 2020 tarihinde aynı yönde kararı alarak Twitter’e ceza uyguladı.