İsveç Veri Koruma Otoritesi (“Otorite”), Meta pikselinin hatalı yapılandırılması nedeniyle kişisel verilerin amaçtan fazla işlenmesi ve aktarılması sonucu GDPR Madde 32’nin ihlal edildiğini tespit ederek veri sorumlusuna yaklaşık 3,2 milyon Euro tutarında idari para cezası verdi. Otorite, veri kategorilerinin niteliği dikkate alındığında veri sorumlusunun varsayılan olarak daha güçlü teknik ve organizasyonel önlemler uygulaması gerektiğini vurguladı.

İsveçli bir eczacılık şirketi olan Apoteket AB (“Veri Sorumlusu”), 2017 yılından itibaren Facebook ve Instagram’daki pazarlama faaliyetlerinin ölçülmesi ve belirli ürün kategorilerine yönelik reklam gösterimi amacıyla web sitesine Meta pikselini entegre etti. Piksel, varsayılan ayarlarla, reçeteli ürünlere ayrılmış sayfalar da dahil olmak üzere web sitesinin geniş bir bölümünde aktif hale getirildi. Bu kapsamda, alerji, mide rahatsızlıkları veya cinsel sağlık gibi farklı sağlık durumlarına yönelik ürün sayfalarının ziyaret edildiğine ilişkin veriler de toplandı.

2020 yılında, veri sorumlusunun bilgisi ve yetkilendirmesi dışında hareket eden bir çalışan tarafından Meta pikselinin “Gelişmiş Eşleştirme” (Advanced Matching) özelliği etkinleştirildi. Bu çalışan, pikseli yöneten sınırlı sayıdaki personelden biriydi. Söz konusu ayar değişikliği sonucunda, veri sorumlusunun pazarlama amacıyla gerekli olmayan ek kişisel veriler toplanmaya başlandı ve bu veriler Meta’ya aktarıldı.

Bir müşterinin veri sorumlusundan alışveriş yapması halinde, Meta’ya ilgili müşteriye ait hashlenmiş iletişim bilgileri, ad-soyad, adres bilgileri ve sosyal güvenlik numarası gibi veriler aktarılıyor; Meta bu verileri Facebook kullanıcı kimliği ile eşleştiriyor ve sonrasında hashlenmiş verileri siliyordu. İhlalden etkilenen ilgili kişi sayısının yaklaşık 930.000 olduğu tahmin edildi.

Veri sorumlusu, 2022 yılında hatalı yapılandırmayı fark eder etmez Gelişmiş Eşleştirme özelliğini devre dışı bıraktı ve Meta’dan piksel aracılığıyla toplanan verilerin silinmesini talep etti. Meta, iki yıldan eski verilerin zaten silindiğini, daha yeni verilerin ise manuel olarak silinemeyeceğini bildirdi. Ayrıca veri sorumlusu, web sitesinde bir duyuru yayımlayarak ilgili kişileri bilgilendirdi ve benzer ihlallerin tekrarını önlemek amacıyla ek teknik ve organizasyonel önlemler aldı (örneğin çerez ayarlarının ilave kontrolleri, çalışanlara yönelik e-öğrenme eğitimleri). Akabinde veri sorumlusu, söz konusu olayı İsveç Veri Koruma Otoritesi’ne bildirdi.

Otorite, Meta pikseli aracılığıyla işlenen veri kategorilerinin, özellikle potansiyel hassas niteliği nedeniyle ilgili kişiler açısından yüksek risk taşıdığını belirtti. Bu nedenle, veri sorumlusunun GDPR Madde 32(1) kapsamında, varsayılan olarak uygun teknik ve organizasyonel önlemleri uygulamakla yükümlü olduğu vurgulandı. Otorite, veri sorumlusunun genel anlamda veri korumaya yönelik proaktif bir yaklaşım benimsediğini, risk değerlendirmeleri ve uyum izleme faaliyetleri yürüttüğünü kabul etti. Bununla birlikte, pikselin hatalı yapılandırmasının iki yıl boyunca fark edilmemesi, uyum izleme mekanizmalarının etkin çalışmadığını gösterdiği gerekçesiyle, GDPR Madde 32’nin ihlal edildiği sonucuna varıldı.

Bu değerlendirmeler doğrultusunda Otorite, veri sorumlusuna 37.000.000 SEK (yaklaşık 3.200.000 €) tutarında idari para cezası uygulanmasına karar verdi.

Kararın linkine buradan ulaşabilirsiniz.

İsveç Veri Koruma Otoritesi tarafından, çerezlerin hatalı yapılandırılması nedeniyle kişisel verilerin ölçülü işlenmemesi ve aktarılmaması sonucu GDPR Madde 32’nin ihlal edildiği gerekçesiyle veri sorumlusuna yaklaşık 3,2 milyon Euro tutarında idari para cezası verildi.