Barselona’daki yıllık Mobil Dünya Kongresi’nin (MWC) arkasındaki düzenleyiciler olan GSMA, bir veri koruma etki değerlendirmesi (DPIA) gerçekleştirmediği için 200.000 € para cezasına çarptırıldı.
Başına TechCrunch (yeni sekmede açılır), karar (yeni sekmede açılır) Agencia Española de Protección de Datos (AEPD) tarafından İspanyolca olarak sunulan (PDF) (PDF), GSMA’nın aşağıdakileri hesaba katmadığında yetersiz kaldığını tespit etti: biyometrik kısmen, etkinliğe girişe izin veren isteğe bağlı, otomatik bir kimlik doğrulama sistemi olan BREEZZ’in bir sonucu olarak katılımcılardan toplanan veriler.
Karara göre GSMA’nın değerlendirmesi, veri işleme yöntemlerinin “esaslı yönlerini” veya BREEZZ sisteminin risklerini veya ihtiyacını hesaba katmadan “yalnızca nominal” bulundu.
GDPR ve MWC’nin DPIA’sı
AB’nin Genel Veri Koruma Yönetmeliği (GDPR), veri toplamanın etkilenen kişilerin mahremiyet haklarına yönelik “yüksek risk” oluşturabileceği durumlarda sağlam bir DPIA’nın yürütülmesini gerektirir. MWC katılımcılarını tanımlamak için kullanılır.
AEPD ayrıca GSMA’nın katılımcılardan pasaportları ve AB kimlik belgelerini topladığına hükmetti ve yükleme sürecinin bir parçası olarak biyometrik veri toplanmasına izin vermelerini istedi.
GDPR, iznin spesifik olması ve özgürce verilmesi gerektiğini açıkça belirtir, ancak dijital sağlık savunucusu Dr. Anastasia Dedyukhina tarafından keşfedildiği gibi, bu açıkça bir seçenek değildi.
Bir LinkedIn’de “Bunun için makul bir gerekçe bulamadım” diye yazdı. (yeni sekmede açılır) gönderi, “Web siteleri yüz yüze doğrulama için kimliğimi/pasaportumu da getirebileceğimi önerdi, buna aldırmadım.”
“Ancak organizatörler, pasaport bilgilerimi yüklemezsem canlı etkinliğe KATILAMAYACAĞIM ve sanal olarak katılmam gerekeceği konusunda ısrar ettiler, sonunda ben de bunu yaptım.”
GSMA, 2022 ve 2023 olayları için bu uygulamaları sürdürdü, ancak AEPD’nin kararı ışığında, her şeyin muhtemelen daha iyiye doğru değişmesi gerekecek.
İçinde ifade (yeni sekmede açılır).