İrlanda veri koruma otoritesi olan Veri Koruma Komisyonu (DPC), Airbnb’nin eylemlerine ilişkin bir soruşturmayı yakın zamanda tamamladı. CNIL’in İrlanda’daki eşdeğeri, 20 Temmuz’da Amerikan şirketine basit bir hatırlatma gönderme kararı aldı.
Airbnb GDPR’ye saygı duymuyor, DPC geçerli (değil)
Airbnb’nin Genel Veri Koruma Yönetmeliği’nin (GDPR) çeşitli noktalarına uymadığından şüpheleniliyordu. Bu bağlamda DPC, durumu açıklığa kavuşturmak için 2022 yılında çokuluslu şirket etrafında bir soruşturma yürütmeye karar vermişti. Bir yıldan fazla süren incelemenin ardından düzenleyici, Airbnb’nin sitede önerilen kimlik doğrulama sürecinin bir parçası olarak kullanıcılardan kimliklerinin bir kopyasını vermelerini istememesi de dahil olmak üzere GDPR’yi ihlal ettiğini tespit etti.
Bu başarısızlığa ek olarak başka ihlaller de tespit edildi. DPC, Airbnb’nin platformu hakkında şikayette bulunan kişilere firmanın elinde bulunan tüm kişisel verilere erişim sağlamadığını düşünüyor. Ancak GDPR, şikayetçilerin aşağıdaki hakları elde etme hakkına sahip olduğunu öngörmektedir ” Kısa, şeffaf, akıllı ve kolay erişilebilir biçimde bir erişim dosyası, “DPC’nin basın bülteninde belirttiği gibi.
Bu hataların kanıtlanmış doğasına rağmen, regülatör o kadar ciddi değildi. Yalnızca Airbnb’ye bir emir verdi, böylece ” iç politika ve prosedürlerini gözden geçirmek “. Bunun üzerine şirket “ bir kınama İrlanda makamının yayınladığı kararda belirtildiği gibi.
DPC’nin gevşekliği henüz birkaç aydır kınanıyordu
Bazıları için İrlandalı CNIL, teknoloji devlerinin başarısızlıkları karşısında fazlasıyla gevşek kalacaktır. Geçen Mayıs ayında İrlanda Sivil Özgürlükler Konseyi (ICCL) DPC’yi kınadı. Kamu özgürlüklerini savunma derneği, tedbirlerinin ve yaptırımlarının gevşekliğine dikkat çekti. 2018’den bu yana düzenleyici kurum tarafından yürütülen yalnızca sekiz prosedür yaptırımla sonuçlandı ve bunların kırk altısı dostane bir anlaşmayla sonuçlandı. Fransa’da CNIL aynı dönemde yedi kat daha fazla şirkete yaptırım uyguladı.
Şaşırtıcı rakamlar, çünkü DPC genellikle en önemli davalara, genellikle bir yaptırıma yol açabilecek davalara atanıyor. Avrupa Birliği’ndeki Tek Noktadan Hizmet kapsamında, bir şirketin GDPR’ye uymaması durumunda yalnızca şirketin Avrupa merkezinin bulunduğu ülkenin ulusal veri koruma yetkilisi, ona yaptırım uygulama yetkisine sahiptir.
Airbnb’ye yönelik basit düzeltici önlemlerle DPC, kendisini eleştirenleri memnun etmiyor. Ayrıca geçen Şubat ayında yayınlanan direktif uyarınca Avrupa kurumlarına geçmiş, mevcut ve gelecekteki faaliyetlerine ilişkin üç aylık bir rapor sunmakla yükümlü olacak.