CNIL bir açıklama yayınladı önemli yaptırım Kaspr şirketine karşı. LinkedIn sosyal ağının kullanıcılarının profesyonel iletişim bilgilerini almayı amaçlayan bir Chrome uzantısı sağlayıcısına, 240.000 euro.
Tartışmalı veri toplama
Kaspr, LinkedIn’de profili görüntülenen kişilerin profesyonel iletişim bilgilerine erişim sağlayan teknik bir çözüm sunuyor. Fransız kişisel veri polisine göre, bu yöntem Genel Veri Koruma Yönetmeliği’nin (GDPR) bazı temel ilkelerini ihlal ediyor. LinkedIn kullanıcıları kişisel bilgilerinin görünürlüğünü kısıtlamayı seçebilirler ancak Kaspr, kullanıcılar tarafından belirlenen gizlilik tercihlerine rağmen bu verileri toplamaya devam etmiştir.
CNIL’in öfkesini tetikleyen tam da bu noktaydı. Aslında, kişilerin iletişim bilgilerine erişimi sınırlamayı tercih etmeleri halinde, bu tercihe üçüncü tarafların kesinlikle saygı duyması gerektiği kanaatindedir. Özel hale getirilen verilerin sistematik olarak toplanması, açık ihlal LinkedIn gibi profesyonel bir ağın kullanıcılarının makul beklentileri.
Verilerin uzun süreli ve orantısız depolanması
İletişim bilgilerinin sorunlu şekilde toplanmasına ek olarak CNIL, Kaspr’ı veri saklama süresinin yetersiz yönetilmesi nedeniyle de eleştiriyor. Genel olarak bilgiler, özellikle sık sık pozisyon değiştiren profesyoneller için aşırı kabul edilen bir süre olan beş yıl süreyle saklandı. Ayrıca, kullanıcı tarafından yapılan her güncelleme bu saklama süresini uzatarak veri işlemedeki orantısızlığı daha da artırdı.
CNIL, bu yaklaşımın GDPR tarafından belirlenen orantılılık yükümlülüğüne doğrudan aykırı olduğunu vurguladı. Şirketin, özellikle toplanan bilgilerin saklanma süresini ayarlayarak yasal gerekliliklere uymak için uygulamalarını zorunlu olarak gözden geçirmesi gerektiğine karar verdi.
Şeffaflık yükümlülüğünün ihlali
Şeffaflık, GDPR’nin temel direğidir ve Kaspr’ın yetersiz kaldığı bir diğer alan da budur. 2022 yılına kadar veri sahiplerine kişisel verilerinin toplanması veya kullanılması konusunda bilgi verilmedi. Şikayetlerde bulunulduğunda Kaspr’ın verdiği yanıtlar belirsiz ve tatmin edici değildi; yalnızca verilerin kamuya açık kaynaklardan geldiği belirtiliyordu.
Bu şeffaflık, GDPR’nin dayattığı şeffaflık yükümlülüklerinin doğrudan ihlali anlamına geliyordu. CNIL, şirketin her bir birey için verilerin kesin kaynağını teknik olarak belirleyemese bile, veri toplama için kullanılan genel yöntemler ve kaynaklar hakkında net bilgi sağlaması gerektiği konusunda ısrar etti.
CNIL’in gerektirdiği düzeltici önlemler
Belirtilen ihlallere yanıt olarak CNIL, Kaspr’a şu talimatı verdi: düzeltici önlemler. Şirket, LinkedIn’de görünürlüğünü kısıtlayan kişilerin iletişim bilgilerini toplamayı derhal durdurmalı ve bu koşullar altında elde edilen tüm verileri silmeli. Bu spesifik verilerin ayırt edilmesinin mümkün olmadığı durumlarda Kaspr, etkilenen kullanıcıları bilgilerinin işlenmesi konusunda bilgilendirmek ve onlara itiraz etme fırsatı sunmakla yükümlüdür.
Fransız veri koruma yetkilisi, kullanıcıların gizlilik tercihlerine saygı duymanın önemini vurguladı ve bu kurallara uymamanın ek yaptırımlarla sonuçlanacağını ekledi.
Bu vaka şunu vurguluyor: önemli konular İçinde bulunduğumuz dijital çağda kişisel verilerin toplanması ve yönetimi ile ilgili. Daha fazla yaptırımdan kaçınmak için benzer teknikleri kullanan şirketlerin katı GDPR uyumluluk politikaları uygulaması gerekiyor. Kaspr’a karşı alınanlar gibi eylemler, veri koruma yetkililerinin ihlallere karşı sert önlemler almaya hazır olduklarını açıkça gösteriyor.
