Almanya’nın Baden-Württemberg eyaleti Veri Koruma Otoritesi, kullanıcılarının şifre ve e-posta adreslerinin çalınması sonucunda bir sosyal medya şirketine gerekli önlemlerin alınmaması sebebiyle 20.000 avro idari para cezası verdi. Söz konusu karar Almanya’nın GDPR’a ilişkin ilk kararı olup kararda özellikle Otorite’ye zamanında bildirim yapılmasının ve işbirliği içinde çalışılmasının önemi vurgulandı.
2018 yılı yazında sosyal medya şirketinin hackerların saldırısına uğraması üzerine şirket durumu Otorite’ye bildirmişti. Söz konusu saldırı, kullanıcı şifreleri ve e-postalar da dahil olmak üzere çok sayıda kullanıcının kişisel verilerine izinsiz erişim ile sonuçlanmıştı. Sonrasında ise şirketin, oldukça örnek bir politika sergileyerek Otorite ile yakın bir iş birliği yürüttüğü Otorite tarafından ifade edildi. Şirketin, veri ihlali bildirimi sonrasında veri işleme ve şirket yapısına ilişkin bilgilerin yanında kendi güvenlik hatalarını da Otorite ile paylaştığı belirtildi. Ayrıca soruşturma sürecinde Otorite, kullanıcı şifrelerinin saldırıya açık bir şekilde açık metinde (plaintext) ve şifrelenmemiş biçimde (unencrypted) tutulduğunu tespit etti.
Otoritenin incelemeleri sırasında, şirketin kullanıcıların verilerini güvence altına almak için kapsamlı önlemler alarak bilişim güvenlik mimarisini geliştirdiği ve son teknolojik imkanları kullandığı ifade edildi. Ayrıca şirketin veri güvenliğini arttırmak için Otorite ile işbirliği içerisinde ek önlemler alacağı da belirtildi.
Otorite yaptığı incelemeler neticesinde şirketin kullanıcı şifrelerini açık metin içinde tutmasının GDPR’ın 32(1)-(a) maddesinde düzenlenen verilerin şifrelenmesine ilişkin yükümlülüğünün ihlali anlamına geldiğini belirledi. GDPR’a göre söz konusu yükümlülüğün ihlalinin cezası 10 milyon avroya kadar veya daha yüksekse, şirketin küresel yıllık cirosunun %2’sine kadar para cezasıdır. Ayrıca para cezasının etkili, orantılı ve caydırıcı olması gerektiği GDPR’da ayrıca belirtilmiştir. Ancak söz konusu ihlal nedeniyle şirkete 20.000 avro para cezası verilmiştir.
Şirketin görece az para cezası almasındaki en önemli faktörlerden birisi de kişisel verilerin korunması için gerekli önlemleri almamış olsa da Otorite ile işbirliği yapması ve Otorite’nin önerileri doğrultusunda şirketin bilişim güvenlik yapısını geliştirmesi oldu. Ayrıca şirketin ihlalin hemen ardından müşterilerini bilgilendirmesini ve şirketin aldığı gerekli ve ek önlemlerin oluşturduğu maliyeti de dikkate alarak karar veren Otorite, 20.000 avronun yeterli bir ceza olduğuna kanaat getirdi.
Sonuç olarak Alman Veri Otoritesi’nin kararı çerçevesinde veri ihlallerinin hızlı bir şekilde tespit edilerek gerekli adımların atılmasının oldukça önemli olduğu söylenebilir. Nitekim iyi bir süreç yönetim stratejisinin mevcut olması hem muhtemel yaptırımlara ilişkin bir önlem niteliği taşıyacak hem de şirket itibarının korunmasına katkı sağlayacaktır.