Avrupa Birliği’nin amiral gemisi gizlilik rejimi olan Genel Veri Koruma Yönetmeliği’nin (GDPR) en güçlü teknoloji devlerine uygulanmasının durumu devam eden bir tartışma konusu olmaya devam ediyor. Aşağıda, yönetmeliğin Mayıs 2018’de uygulanmaya başlamasından bu yana Büyük Teknoloji’ye uygulanan en büyük 10 GDPR cezasının bir listesini derledik.
Facebook, Instagram ve WhatsApp’ın sahibi olan Meta, bugüne kadar en büyük cezayı alan şirket olarak listenin başında yer alıyor (1,2 milyar avro veya cari döviz kuruna göre yaklaşık 1,31 milyar dolar) Ve çünkü bu en büyük cezaların çoğunluğunu oluşturuyor (platform başına saymanıza bağlı olarak altı veya daha fazla).
Lütfen bu listenin yalnızca GDPR kapsamında teknoloji firmalarına verilen büyük cezaları içerdiğini unutmayın. Son yıllarda, bloğun eski eGizlilik Yönergesi aracılığıyla Büyük Teknoloji’ye bazı önemli yaptırımlar da uygulandı, ancak bunları burada listelenmiş olarak bulamazsınız.
GDPR kapsamında teknoloji firmalarına verilen cezalar
1. Meta (Facebook): Mayıs 2023’te İrlanda Veri Koruma Komisyonu (DPC) tarafından Facebook kullanıcılarının kişisel verilerinin Avrupa Birliği dışına aktarılmasına ilişkin kuralları ihlal ettiği gerekçesiyle 1,2 milyar avro (~1,31 milyar dolar) para cezasına çarptırıldı.
2. Amazon: Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD) tarafından, kişisel verileri reklam hedeflemesi için kullanmasının rızaya dayanmadığı yönündeki şikayetler üzerine Temmuz 2021’de 746 milyon avro (~815 milyon $) para cezasına çarptırıldı.
3. Meta (Instagram): İrlanda Veri Koruma Komisyonu tarafından Eylül 2021’de küçüklerin verilerinin işlenmesindeki eksiklikler nedeniyle 405 milyon avro (~443 milyon $) para cezasına çarptırıldı.
4. Meta (Instagram ve Facebook): İrlanda Veri Koruma Komisyonu tarafından Ocak 2023’te reklam hedeflemesi için kullanıcı verilerini işlemek üzere geçerli bir yasal temele sahip olmadığı gerekçesiyle toplam 390 milyon avro (~426 milyon $) para cezasına çarptırıldı.
5. ByteDance (TikTok): İrlanda Veri Koruma Komisyonu tarafından, küçüklerin verilerinin işlenmesindeki eksiklikler nedeniyle Eylül 2023’te 345 milyon avro (~377 milyon $) para cezasına çarptırıldı.
6. Meta (Facebook ve Instagram): İrlanda Veri Koruma Komisyonu tarafından Kasım 2022’de, iletişim içe aktarıcısı ve arama araçları da dahil olmak üzere belirli platform özelliklerinin yüz milyonlarca kullanıcının kişisel verilerini diğer tüm kullanıcılar tarafından görülebilir hale getirmesinin ardından varsayılan ve tasarımsal veri koruma ihlalleri nedeniyle 265 milyon avro (~290 milyon $) para cezasına çarptırıldı.
7. Meta (WhatsApp): İrlanda Veri Koruma Komisyonu tarafından, GDPR şeffaflık yükümlülüklerini ihlal ettiği ve kullanıcıların verilerini nasıl işlediğini açıkça belirtmediği için Eylül 2021’de 225 milyon avro (~246 milyon $) para cezasına çarptırıldı.
8. Alfabe/Google (Android): Ocak 2019’da Fransa Ulusal Bilişim ve Özgürlük Komisyonu (CNIL) tarafından Android mobil platformuyla ilgili şeffaflık ve onay ihlalleri nedeniyle 50 milyon avro (~55 milyon dolar) para cezasına çarptırıldı.
9. Meta (Facebook): Mart 2022’de İrlanda Veri Koruma Komisyonu tarafından 30 milyona kadar kullanıcıyı etkilediği düşünülen bir dizi güvenlik ihlali nedeniyle 17 milyon avro (~18,5 milyon $) para cezasına çarptırıldı.
10. ByteDance (TikTok): Nisan 2023’te Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) tarafından küçük korumayla ilgili başka bir davada cari döviz kurlarıyla yaklaşık 14,8 milyon avro (~16 milyon $) para cezasına çarptırıldı. (Not: Birleşik Krallık artık AB’de olmasa da, veri koruma kuralları hala GDPR’ye dayanmaktadır.)
Kesinlikle Büyük Teknoloji değil ama bahsetmeye değer
Reklam teknolojisi devi Kriteo Ağustos 2022’de Fransa’nın CNIL’si tarafından bir dizi GDPR ihlali nedeniyle 60 milyon € (~65 milyon $) tutarında bir ön para cezası verildi. Ancak Haziran 2023’te reklam teknolojisi devi temsillerde bulunduktan sonra ceza seviyesi 40 milyon €’ya (~44 milyon $) düşürüldü. Uygulama, Criteo’nun reklam hedeflemesi için kullanıcılarının onları izleme ve profilleme iznine sahip olmadığına dair şikayetleri takip etti.
Bir diğer bonus bahsi: ABD merkezli yapay zeka girişimi Clearview Yapay Zeka 2022’de İtalya, Yunanistan ve Fransa’daki veri koruma otoriteleri tarafından mümkün olan en yüksek cezaya (gelirine göre 20 milyon avro veya yaklaşık 22 milyon dolar) tam üç kez çarptırıldı. Yaptırımlar, yüz tanıma kimliği eşleştirme AI aracını eğitmek için internetten özçekimleri toplama taktiği sonucunda yasadışı veri işleme içindi. Aynı yıl, İngiltere’nin ICO’su da GDPR ihlalleri için daha küçük bir yaptırım uyguladı, bu nedenle tartışmalı girişimin faaliyetleri çok fazla yaptırıma maruz kaldı.