Apple için nadir bir gizlilik cezası: Fransa’nın veri koruma bekçisi CNIL, ilan edildi yerel veri koruma yasasını ihlal ederek cihazlarına reklam tanımlayıcıları yerleştirmeden (ve/veya okumadan) önce yerel mobil kullanıcıların onayını almadığı için iPhone üreticisine 8 milyon € (~8,5 milyon $) yaptırım uyguladı.

Yaptırım kararı 29 Aralık’ta verilmiş ancak dün kamuoyuna duyurulmuştu. karar metnine buradan ulaşabilirsiniz Fransızcada).

CNIL, Avrupa Birliği’nin e-Gizlilik Direktifi kapsamında hareket ediyor – bu, Üye Devlet düzeyindeki veri koruma yetkililerinin, söz konusu şirketin bulunduğu ülkedeki bir lider veri denetçisine yönlendirilmelerini gerektirmek yerine, ihlallerle ilgili yerel şikayetler hakkında işlem yapmasına izin veriyor. ana AB kurumu (AB’nin daha yeni Genel Veri Koruma Yönetmeliği veya GDPR’de olduğu gibi).

Bu eGizlilik cezasının boyutu Cupertino’da uykusuz gecelere neden olmayacak olsa da Apple, birinci sınıf markasını parlatmak ve iPhone’ları Google’ın Android platformunu çalıştıran daha ucuz donanımlardan ayırmak için benzersiz kullanıcı gizliliği iddialarından yararlanıyor. kullanıcı verilerini korumak acı vermelidir.

CNIL, App Store’da kişiselleştirilmiş reklamlar gösterdiği için Apple’a karşı bir şikayet üzerine hareket ettiğini söyledi. İşlem, iPhone işletim sisteminin daha eski bir sürümüyle (14.6) ilgilidir ve bu sürüm altında – bekçi köpeği 2021 ve 2022’de araştırdıktan sonra – teknoloji devinin, sunulan hedefli reklamlar için verilerini işlemek üzere kullanıcılardan önceden izin almadığını tespit etti. bir kullanıcı Apple’ın App Store’unu ziyaret ettiğinde.

CNIL, iOS v14.6’nın kullanıcının iPhone’undaki tanımlayıcıları otomatik olarak okuduğunu (ki bu, App Store’daki reklamları kişiselleştirmek de dahil olmak üzere bir dizi amaca hizmet etti) ve düzenleyicinin görüşüne göre, Apple’ın uygun izni almadan gerçekleştiğini tespit etti. varsayılan olarak önceden kontrol edilen bir ayarla toplanıyor. (Not: 2019 eGizlilik Yönergesi hakkında CNIL kılavuzu reklam izleme için onayın gerekli olduğunu şart koşar.)

CNIL’in basın açıklamasından [translated from French with machine translation]:

Reklam amaçları nedeniyle, bu tanımlayıcılar, hizmetin (App Store) sağlanması için kesinlikle gerekli değildir. Sonuç olarak, kullanıcı önceden izin vermeksizin okunamaz ve/veya kaydedilemez. Ancak uygulamada, iPhone’un ‘Ayarlar’ simgesinde bulunan reklam hedefleme ayarları varsayılan olarak önceden kontrol edilmiştir.

Ek olarak, bu olasılık telefonun başlatma işlemine entegre edilmediğinden, kullanıcının bu parametreyi başarıyla devre dışı bırakmak için çok sayıda eylem gerçekleştirmesi gerekiyordu. Kullanıcının iPhone’un ‘Ayarlar’ simgesini tıklaması, ardından ‘Gizlilik’ menüsüne ve son olarak ‘Apple Reklamcılığı’ başlıklı bölüme gitmesi gerekiyordu. Bu unsurlar, kullanıcıların ön onaylarının alınmasını mümkün kılmamıştır.

CNIL, para cezası seviyesinin işlemenin kapsamını yansıttığını söyledi (bunun App Store ile sınırlı olduğunu belirtiyor); etkilenen Fransız kullanıcı sayısı; ve Apple’ın tanımlayıcılar tarafından toplanan verilerden dolaylı olarak elde edilen reklam gelirinden elde ettiği kârların yanı sıra, Apple’ın o zamandan beri kendisini uyumlu hale getiren düzenleyici faktoringi.

CNIL yaptırımı hakkında yorum yapmak için Apple ile temasa geçildi. Bir şirket sözcüsü itiraz etmeyi planladığını doğruladı ve bize şu açıklamayı gönderdi:

CNIL’in daha önce App Store’da arama ağı reklamlarını sunma şeklimizin kullanıcı gizliliğine öncelik verdiğini kabul etmesi nedeniyle bu karar bizi hayal kırıklığına uğrattı ve itiraz edeceğiz. Elma Arama Ağı Reklamları, kullanıcılara kişiselleştirilmiş reklamlar isteyip istemedikleri konusunda net bir seçim sunarak, bildiğimiz diğer tüm dijital reklamcılık platformlarından daha ileri gider. Bunlara ek olarak, Elma Arama Ağı Reklamları, 3. taraf uygulamalardaki ve web sitelerindeki kullanıcıları asla izlemez ve reklamları kişiselleştirmek için yalnızca birinci taraf verilerini kullanır. Gizliliğin temel bir insan hakkı olduğuna ve bir kullanıcının her zaman verilerini kiminle paylaşıp paylaşmayacağına karar vermesi gerektiğine inanıyoruz.

Apple, mahremiyet çifte standartları konusunda ilk kez eleştirel bir incelemeyle karşı karşıya kalmıyor. 2020’de Avrupa gizlilik hakları kampanya grubu noyb, AB veri koruma gözlemcilerine, Apple tarafından varsayılan olarak iPhone’a yerleştirilen bir Reklamverenler için Tanımlayıcı (aka IDFA) hakkında bir dizi şikayette bulundu ve IDFA’nın varlığının benzer bir ihlal olduğunu iddia etti. izleme ilkesine önceden izin.

Şirket ayrıca son yıllarda, iPhone kullanıcılarının kendi “kişiselleştirilmiş reklamlarını” sunmak için uygulama etkinliğinin izlenmesine karşı farklı muamelesi ve üçüncü taraf uygulamalarının kullanıcılardan onay almasına yönelik yakın zamanda getirilen bir gereklilik nedeniyle gizlilik ikiyüzlülüğü ile suçlanıyor. — 2021’de Uygulama İzleme Şeffaflığı özelliğini (aka ATT) iOS’a getirdikten sonra.

Apple, yerel gizlilik yasalarına uyduğunu ve iOS kullanıcıları için rakip platformlardan daha yüksek düzeyde gizlilik ve veri koruması sunduğunu iddia ederek bu tür argümanlara itiraz etmeye devam etti.

Bu arada Fransa, son yıllarda teknoloji devlerine karşı eGizlilik ihlallerini uygulama konusunda çok aktif oldu; geçen ay tanımlama bilgisi izlemeyle ilgili olarak koyu desenli tasarım nedeniyle Microsoft’u 60 milyon Euro’luk bir cezayla vurduğunda – şirketin kullanıcılara tanımlama bilgilerini reddetmek için çerezleri kabul etmek için sunduğu düğme kadar kolay bir mekanizma sunmadığını gördükten sonra.

Amazon, Google ve Meta (Facebook) da 2020’den beri tanımlama bilgileriyle ilgili ihlaller nedeniyle CNIL yaptırımlarına maruz kaldı. Ve geçen yıl Google, AB genelinde çerez izni açılır penceresini (nihayet) basit bir “kabul et” sunmak üzere güncellemeye devam etti. en üst düzeyde sunulan tümü’ veya ‘tümünü reddet’ seçeneği.

tl; dr: Gizlilik çalışmalarının düzenleyici uygulaması.

CNIL’in müdahalelerinin, GDPR’den çok daha eski bir AB direktifi olan ePrivacy aracılığıyla Fransa’daki kullanıcılar için elde edebildiği istikrarlı uygulama ve düzeltme akışı, inceleme ve yaptırımın söz konusu olduğu ikinci amiral gemisi gizlilik yönetmeliğinin işleyişine daha fazla eleştirel ışık tuttu. teknoloji devleri, forum alışverişi, ilgili usul darboğazları ve kaynak sağlama sorunlarının yanı sıra, bu sınır ötesi davaların nasıl çözüleceğine dair düzenleyiciler arasındaki anlaşmazlıklar nedeniyle çıkmaza girmeye devam ediyor.

Ancak bir teknoloji devine yönelik bir GDPR şikayetinin yürürlüğe girmesi yıllar alabilirken, iki Meta varlığına, Facebook ve Instagram’a yönelik ‘zorla rıza’ şikayetlerini sonuçlandırmak yaklaşık 4,8 yıl sürdü ve yine de muhtemelen yıllarca süren itirazlar var. bu karar ileride (ve daha da uzun süredir devam eden diğer şikayetler hala titizlikle nihai bir karara doğru ilerlerken) — bir AB direktifi ile bir yönetmelik arasındaki fark, uygulamanın, uygulayıcının yargı yetkisine göre yerelleştirilmek yerine varsayılan olarak tüm AB olduğu anlamına gelir. DPA. Bu, ePrivacy ile daha geniş uyumluluk sunumlarının yaptırım uygulanan bir kuruluşun takdirine bağlı olduğu anlamına gelir; bu nedenle, kullanıcılar üzerindeki etki daha yerel olabilir.

Ek olarak, herhangi bir (nihai) GDPR cezaları, ePrivacy’nin getirdiği cezalardan daha önemli olabilir; GDPR, küresel yıllık cironun %4’üne kadar para cezalarına izin verirken, ePrivacy, belirlemeyi Üye Devletlere bırakan eski bir rejime bağlı kalmıştır. “etkili, orantılı ve caydırıcı” cezalar. (Dolayısıyla, buradaki kullanıcı hakları yerel politikaya bağlıdır.)

Bu devlerin ne kadar gelir elde ettiği göz önüne alındığında, düzeltici emirler büyük teknoloji için finansal yaptırımlardan çok daha fazla ısırsa da – yüz milyonları veya daha fazlasını bulan para cezaları bile sadece iş yapmanın bir maliyeti olarak silinebilir. Gizlilik yasalarına uymak için uygulamaları değiştirmeye yönelik emirler ise anlamlı reformları zorunlu kılabilir.

AB’nin – yıllardır – şimdi yirmi yıldan daha eski olan eGizlilik Yönergesini güncellenmiş bir eGizlilik Yönetmeliği ile değiştirmeye çalıştığını belirtmekte fayda var. Bununla birlikte, 2017 Komisyonu önerisiyle ilgili büyük teknoloji lobiciliği ve kanun koyucu anlaşmazlıkları, bu dönemin büyük bölümünde dosyayı oyalamak için bir araya geldi.

Üye Devletler, sonunda Şubat 2021’de ortak bir müzakere pozisyonunda anlaştılar ve sonunda üçlü müzakerelerin başlamasını sağladı. Fakat AB’nin eş yasa koyucuları arasındaki tartışmalar büyük ve küçük ayrıntılar devam ediyor – ve bir fikir birliğinin ne zaman (veya olup olmadığı) özetlenip çıkarılamayacağı net değil.

Ve bu, emektar eGizlilik Yönergesi’nin önünde hala daha uzun yıllar ve büyük teknoloji cezalarında milyonlarca yıl daha olabileceği anlamına geliyor.



genel-24