Danimarka Veri Koruma Otoritesi (''Danimarka DPA'' veya ''DPA''), GDPR Madde 32(1)'i ihlal ederek güvenli olmayan URL'ler oluşturduğu için bir veri işleyeni eleştirmiştir. URL'ler, ortaöğretim kurumlarındaki öğrencilerin becerilerini taramak için kullanılıyordu.

Danimarkalı yayınevi Gyldendal A/S (veri işleyen) ortaöğretim kurumlarına bir hizmet sunmuştur. Bu hizmet, öğretmenler tarafından öğrencilerin akademik becerilerinin güçlü ve zayıf yönlerini taramak amacıyla testler oluşturmak için kullanılmıştır. Testlere URL'lerle erişiliyor ve testler bir tarayıcıda dolduruluyordu.

Testlere erişimi sağlayan URL'ler toplamda 8 karakterden oluşuyordu ve bu karakterlerden 2'si rastgele belirleniyordu. Pratikte, bu durum, bir öğrencinin URL'yi yanlışlıkla veya bilerek (örneğin, URL'yi yanlış yazma sonucu) başka bir okuldan bir öğretmenin oluşturduğu testi tamamlayabilmesine neden oluyordu. Bu durumda, diğer okuldan bir öğretmen, öğrencinin kişisel verilerine (ad, e-posta ve test sonuçları) yetkisiz erişim sağlayabiliyordu.

Kısaltılmış URL'ler (8 karakterle) özellikle, daha uzun URL'leri kabul etmeyen ortaöğretim kurumları (veri sorumluları) tarafından talep edilmiştir.

DPA tarafından, diğer okullardan öğretmenlerin, öğrencilerin isimleri ve e-postaları da dahil olmak üzere öğrencilerin test sonuçlarına yetkisiz erişim sağladıkları varsayılmıştır. Sonuç olarak, DPA, GDPR Madde 4(12) uyarınca bir veri ihlalinin meydana geldiğini tespit etmiştir.

GDPR Madde 32(1) uyarınca, veri işleyenin işleme faaliyetlerinde yer alan risklere uygun bir güvenlik seviyesi sağlamak için uygun teknik ve idari önlemleri alması gerekmektedir. DPA, URL'ler aracılığıyla erişimin kişisel verilerin gizliliğini sağlayacak şekilde gerçekleşmesi gerektiğini vurgulamıştır.

DPA mesleki beceriye ilişkin kişisel verileri işlemeyi ve değerlendirmeyi açıkça amaçlayan bir hizmetin, veri işleyenin teknik çözüm tasarımına büyük talepler getirdiğini düşünmektedir. URL manipülasyonu da yaygın olarak bilinen ve kolayca karşı konulabilecek bir hata kaynağı olarak değerlendirilmiştir. Buna ek olarak, DPO, veri sorumlusunun, IT alt yapısında var olan teknik sınırlamalar sebebiyle ilgili kişilerin haklarının yetersiz korunmasından dolayı sorumluluktan kurtulamayacağı görüşündedir.

DPA, yayınevinin seçilen URL'nin entropisi de dahil olmak üzere yeterli erişim kısıtlamaları uygulamayarak GDPR Madde 32(1)'i ihlal ettiğine karar vermiş ve veri işleyene yönelik eleştirilerini dile getirmiştir.

Kaynak

Danimarka Veri Koruma Otoritesi, güvenli olmayan URL'lerin sebep olduğu güvenlik açığı nedeniyle veri sorumlusu yayınevinin GDPR’ın 32. maddesini ihlal ettiğine karar verdi.