“BLACK MIRROR GERÇEK Mİ OLUYOR? DISCORD BİZİ DİNLİYOR MU?” soerumuza Avrupa Birliği’nden emsal bir tespit geldi. Hani şu arkadaşınızla bir şey konuşuyorsunuz ve önünüze reklam geliyor ya… Tesadüf olmadığı artık açık.
Uygulamalar kapatsak bile bizi dinliyor mu sorumuz ile ilgili Avrupa’dan bir karar var.
Türkiye’de de oldukça yaygın olarak kullanılan Discord uygulaması GDPR’a aykırı fiilleri nedeniyle 800.000 Euro para cezası almıştı. Kararın ayrıntılarını Kişisel Verileri Koruma Günü gibi önemli bir günde paylaşmak gerek. Çünkü bilim kurgu filmlerinde gördüklerimiz gerçek oluyor.
Kararda özellikle GDPR 25.2’ye dayalı kısmı dikkat çekiyor. Kararda 25.2 ile ilgili ihlal olarak değerlendirilen ilk kısımda;
Bir ses kanalına bağlanan kullanıcı Microsoft Windows’un sağ üst köşesinde bulunan “X” ikonuna tıklayarak DISCORD uygulama penceresini kapattığında, bunun uygulamayı sadece arka plana aldığını ve arka planda ses kanalına bağlı kalındığını bununla birlikte, Microsoft Windows altında, bir uygulamanın son görünen penceresinin sağ üstündeki “X” işaretine tıkladığınızda bunun da uygulamaların büyük çoğunluğu için uygulamadan çıkmanız anlamına geldiğini ve DISCORD’un davranışının farklı olduğunu kullanıcıların ses kanalından ayrıldıklarını sandıkları anda, ses kanalında bulunan diğer üyeler tarafından duyulmasına neden olabileceği tespit edilmiş olup DISCORD’un kullanıcıyı, sözlerinin üçüncü şahıslar tarafından iletilmeye ve duyulmaya devam edildiğinin farkına varmasına izin verdiği hususunda özellikle bilgilendirmesi gerektiğini değerlendirmiştir. Bu noktada kararın inceleme açısından çok kıymetli olduğunu belirtmekte fayda var. Bu nedenle kararı da aşağıda paylaşıyorum.
Ek olarak genel hatlarıyla cezanın;
-Amaca uygun bir veri saklama süresinin tanımlanmaması ve buna uyulmaması (GDPR Madde 5.1.e)
-Bilgi verme yükümlülüğüne uyulmaması (RGPD Madde 13)
-Veri korumasının varsayılan olarak sağlanamaması (GDPR’nin 25.2. Maddesi)
-Kişisel verilerin güvenliğinin sağlanamaması (GDPR’nin 32. Maddesi) maddeleri nedeniyle verildiği değerlendirilebilir. Bu karar ile birlikte Türkiye’de de herkesi veriye usulüne uygun almanın yeterli olmadığı hukuka uygun amaçlarla almak gerektiği ve hukuka uygun sürelerde saklamak gerektiğini hatırlatmakta fayda var.