Hamburg veri koruma görevlisi: veri minimizasyonu ilkesi “artık savunulamaz”
Hamburg veri koruma sorumlusu Thomas Fuchs, Salı günü sunduğu 2022 faaliyet raporunda, verilerin edinilmesi, paylaşılması ve kullanılmasına dayalı bir toplum “veri koruyucu olamaz” diye yazıyor. Genel Veri Koruma Yönetmeliği (GDPR) olan kişisel bilgilerin işlenmesinden kaçınma ve en aza indirme ilkeleri “yönetilemez” olacaktır. Fuchs, bu değişikliğin “veri korumasına meydan okuyacağını” vurguluyor. Çünkü hâlâ bireysel bilgisel kendi kaderini tayin etme hakkı ve vatandaşların verileri üzerinde sorgulanmaması gereken egemenliği var. Öte yandan, siyasi olarak istenen “kitlesel anket”in bireysel onaylar bazında çalışmadığı da açıktır. Aksi takdirde, genellikle rahatsız edici olarak algılanan çerez banner’larında her gün görülebileceği gibi “sahte izin modelleri” riski vardır.
Müfettiş, eğilimin yasal olarak yapılandırılmış devre dışı bırakma yaklaşımlarına doğru olduğunu tahmin ediyor. Ayrıca şeffaflık, veri korumanın odağına daha fazla yerleşecek, böylece etkilenenler bilinçli bir şekilde haklarını kullanabilecek. Veri koruma yetkilileri için odak, bireysel şikayet prosedürlerinden kullanım senaryolarını kontrol etmeye kayacaktır. Bu, denetim makamlarının “kelimenin tam anlamıyla kaçınılmaz olarak daha yapıcı” olduğu, ancak koruma garantilerini baştan düşünebilmek için daha erken dahil olmaları gerektiği anlamına gelir.
Fuchs raporu sunarken sağlık sektörünü belirlenen “veri kullanımındaki paradigma değişikliğine” bir örnek olarak gösterdi. Federal Sağlık Bakanlığı tarafından dijitalleştirme stratejisinin bir parçası olarak sunulan sağlık verileri kullanım yasası taslağı, hassas hasta verilerinin araştırma için daha erişilebilir hale getirileceğini gösteriyor. Müfettiş, ilgili sınıflandırmaların “rıza ile ilgiliyse” burada iyi çalışmadığını açıkladı. Elektronik hasta dosyası (ePA) ile bu modellerin “kitlelere uygun olmadığı” ortaya çıktı. Şimdi planlanan devre dışı bırakma, işleri kolaylaştırmıyor, aksine “aslında çok daha karmaşık” hale getiriyor. Bu nedenle, veri koruma yetkililerini doğrudan dahil etmek önemlidir.
Daha az şikayet alındı
Diğer federal eyaletlerde olduğu gibi, 2022’de bağımsız devlet dairesine alınan şikayet sayısı bir önceki yıla göre yaklaşık dörtte bir oranında azalarak 2160’a düştü. Bu muhtemelen korona pandemisiyle ilgili veri koruma sorunlarının hafifletilmesinden de kaynaklanıyor. Bildirilen siber saldırıların sayısı arttı: toplam 807 veri ihlali raporundan 227’sine ulaştı. Üniversiteler gibi kamu kurumlarının giderek “sistemlerin derinliklerine sızan, iyi hazırlanmış olduğu açıkça görülen saldırıların” hedefi haline gelmesi dikkat çekicidir. Fuchs, şirketleri ve diğer ofisleri BT güvenlik standartlarını gözden geçirmeye çağırdı. Kritik altyapının bir parçası olmayanlar bile bu konuya daha fazla para harcamak zorunda kalacak.
Müfettiş, polis güvenliği alanındaki gizli ve müdahale yoğun önlemlerin zorunlu denetimlerinin “yavaş olduğundan” şikayet ediyor. “Kayıttaki ciddi eksiklikler nedeniyle” çok daha zor hale getirildiler. Toplam sayıya genel bir bakış elde etmek ve Hamburg polisinin veri işleme sürecini tam olarak anlamak mümkün olmadı. Memur şikayet ediyor: “Hangi olayların olduğunu bir şekilde elle öğrenmemiz gerekiyordu.”
G20 zirvesi görüşmeleri devam ediyor
Kamu güvenliği alanında komiser için geç tatmin: Üç yıllık bir aradan sonra, Hamburg Yüksek İdari Mahkemesi, polisin Hansa kentindeki 2017 G20 zirvesinde isyancıları otomatik yüz tanıma sistemi kullanarak araması davasındaki temyiz başvurusunu kabul etti. tanıma yazılımı Videmo 360. Alt derece, ilk olarak, veri koruma görevlisi tarafından 2018’in sonunda arama veritabanının silinmesi ve etkisiz soruşturma aracından vazgeçilmesi için kolluk kuvvetlerine verilen emri bozdu. Bununla birlikte, temyiz makamı şimdi açıkladı, ilgili BT sistemi silindikten sonra yasal koruma makamının yasal korumaya olan ilgisi sona ermedi. Fuchs, yılın ilk yarısında mevcut kararı bozacak bir karar çıkmasını umuyor. Prosedür aynı zamanda denetim makamının diğer kamu kurumlarına hangi test kapsamını ve hangi yetkileri tanıdığını da netleştirebilir.
Çerez afişleri için yasal güvenlik
Geçen yıl, sosyal medya grubu Meta’nın platformlarına karşı Hamburg denetleme makamının da dahil olduğu birkaç büyük Avrupa davası sona erdi. Baş İrlanda Veri Koruma Komisyonu’nun (DPC) bazen hafif taslak kararları ışığında, Avrupa Veri Koruma Kurulu’nu (EDPB) aradı. Örneğin İrlanda’da, yetkili makam nihayet Instagram’a çocukların verilerini kötüye kullandığı için 405 milyon avroluk rekor bir para cezası verdi. EDPB’nin bu alana müdahil olmasına toplamda 800 milyon avro para cezası verildi. 2023’te, Facebook’a karşı temel bir karar hala beklemede.
2023’ün başından bu yana Fuchs, telekomünikasyon ve telemedyada (TTDSG) veri koruma yasasının izlenmesinden de sorumlu. Buradaki merkezi nokta, çerez afişleridir. Geçen yıl, denetim makamı “Tümünü reddet” düğmesinin standart hale gelmesini zaten sağladı. Fuchs, sözde “gerekli çerezlerin” bile genellikle hedefi aşan “birçok izleme konusu” içerdiğini eleştiriyor. Bu nedenle yetkili makam, Mart ayı sonunda bir medya şirketi aleyhine ilk işlemleri başlatacak. Genel olarak, federal ve eyalet hükümetlerinin veri koruma konferansı (DSK) saf abonelik modellerini inceledi ve genel olarak bunlara izin verildiğini düşündü. Daire başkanı şunu vurguladı: “Bu alanda yasal kesinlik yaratıyoruz.”
Şu anda odakta olan şey
Eski medya gözlemcisi, Gençlik Medyasını Koruma Komisyonu’nun (KJM) 2022’de web sitelerinde yaş kontrolü için yapay zekaya (AI) sahip üç sistemi “daha yakından veri koruma hususları olmaksızın” onaylamasından rahatsız. Bu hizmetler insan görsel denetimi olmadan işletilmektedir. İstismar potansiyeli muazzam: Biyometrik modeller bir kez oluşturulduktan sonra, banka dolandırıcılığından sahte çıplak videolara kadar kimlik hırsızlığı için kötüye kullanılabilirler. Ayrıca “bireyler, insanlar tarafından revize edilemeyecek bir karara tabi tutularak, muhtemelen opak yazılımların oyuncağı haline getirilmemelidir”.
Fuchs, bu tür sistemlerin kullanımının “hassas yaptırımlara” yol açabileceği konusunda uyarıyor. İlgili platform operatörleri, veri koruma etki değerlendirmesinin bir parçası olarak GDPR’nin ihlal edilmediğinden emin olmalıdır. Araç kameralarının sürekli çalışması ve plaka tanıma ile park yeri kontrolü için de yüksek cezaların mümkün olduğunu düşünüyor.
(mki)
Haberin Sonu