GDPR Avrupa’da 2018’den bu yana uygulanıyor ancak CNIL dahil koruma yetkilileri tarafından uygulanan yaptırımlar, ilgili aktörlerin ilerleme için önemli bir paya sahip olduğunu gösteriyor.
13 Şubat’ta Fransız Komisyonu, seri ilan sitesi pap.fr’nin (From Particulier to Particulier) yayıncısı olan PAP şirketine karşı 100.000 avroluk bir yaptırımı resmileştirdi. Bu, özellikle veri saklama ve koruma konusundaki uygulamaları nedeniyle onaylanmıştır.
Veriler 5 ila 10 yıl süreyle saklanır
CNIL tarafından 2022’de gerçekleştirilen denetimler, GDPR’nin ihlallerini ortaya çıkardı. Bunlardan en önemlisi, bu bilgilerin saklanma süresi ve güvenliği ile ilgilidir.
Ancak düzenleyici kurum aynı zamanda PAP’ı kişilerin bilgilendirilmesi ve taşeronla ilişkilerinin denetlenmesiyle ilgili suçlarla da suçluyor.
Saklama sürelerine ilişkin olarak site editörünün 10 yıllık bir standardı vardı. Bu aşırı uzun süre, ücretli hizmetleri kullanan belirli müşteri hesaplarından alınan veriler için geçerlidir.
Reklamların içeriği, ödeme yapan müşterilerin adı, soyadı, telefon numarası ve e-posta adresi 10 yıl süreyle saklanmaya tabi tutuldu. Ücretsiz hizmet kullanıcıları için tanımlanan saklama süresi 5 yıldı.
Taşeronluk: GDPR geçerlidir
Ancak CNIL kontrolleri bu süreye uyulmadığını ortaya çıkardı. Veriler daha uzun süre saklandı. PAP ayrıca İnternet kullanıcılarına yalnızca tam saklama süresiyle ilgili değil, eksik bir gizlilik politikası da gösterdi.
Yayıncı aynı zamanda bir taşeronla yapılan sözleşmeye bağlı olarak GDPR’nin ihlali nedeniyle de hedefleniyor. Şirket, veri sorumlusu adına gerçekleştirilen işlemeyi yasal bir düzenlemeyle düzenlemekle yükümlüdür.
Son olarak PAP siber güvenlik konusunda yeterince olgunlaşmadığını gösterdi. GDPR’nin 32. Maddesini ihlal eden şirket, kullanıcılarının kişisel verilerinin güvenliğini sağlama yükümlülüğünü yerine getiremedi.
Saldırı ve veri sızıntısı riskleri
“Sitenin kullanıcı hesabı şifre karmaşıklığı kuralları yeterince sağlam değildi. Şirketin sitede emlak ilanı yayınladıktan sonra, bu ilana ulaşmak için hesabı olmayan kullanıcılara ilettiği gizli referanslarda da durum aynıydı. alıntı örneğin CNIL.
Kurum ayrıca kullanıcı hesabı şifrelerinin ve gizli referansların düz metin olarak saklanmasını da eleştirmektedir. Bu kusurlar “veri güvenliğini garanti etmiyordu”. Sonuç: Gözlemlenen güvenlik kusurları “verileri bilgisayar saldırıları ve sızıntı riskine maruz bıraktı.”
AB üye ülkelerinde yürürlüğe girmesinden altı yıl sonra GDPR, uyumluluk açısından birçok kuruluşta devam eden bir çalışma olmaya devam ediyor. Bu aynı zamanda OVHcloud CEO’su Michel Paulin’in de yakın zamanda vurguladığı ve bu düzenlemenin Yapay Zeka Yasasına kıyasla bir öncelik oluşturduğunu belirtti.