FTC’nin Elon Musk’ın Twitter’ına dün yaptığı uğursuz uyarıya paralel olarak – ‘hiçbir CEO veya şirket yasaların üzerinde değildir’ – mikroblog platformunun Avrupa Birliği’ndeki lider düzenleyicisi, güvenlik ve gizlilikten sorumlu kıdemli çalışanların ardından davasında. kapıdan çıkan uyum.
Şu anda AB’nin Genel Veri Koruma Yönetmeliği (GDPR) kapsamında Twitter’ın gözetimini yöneten İrlanda Veri Koruma Komisyonu’nda (DPC) komiser yardımcısı Graham Doyle, TechCrunch’a dün basında çıkan haberlerin ardından şirketle temas halinde olduğunu söyledi. DPO) istifa etmişti.
Doyle’a göre, DPC ve Twitter arasında önümüzdeki hafta başlarında bir toplantı yapılacak. Ayrıca bize Twitter’ın basında çıkan haberlerden önce düzenleyiciyi DPO’nun ayrılışı hakkında bilgilendirmediğini de doğruladı.
Doyle’a göre, DPO durumu hakkında netlik elde etmek toplantı gündeminin en üstünde olacak.
Ancak düzenleyicinin şimdi başka bir endişesi olduğunu söyledi. Twitter ile görüşün – Twitter’ın ana kuruluşunun GDPR amaçları doğrultusunda hala İrlanda’da bulunup bulunmadığı hakkında…
Doyle, TechCrunch’a “Tartışmak istediğimiz konulardan biri ana kuruluşla ilgili sorun” dedi. “Yerinde bir veri koruma görevlisi bulundurmak ve bize ayrıntıları sağlamakla yükümlüdürler, ancak aynı şekilde, [GDPR] Bir ana kuruluşun tek bir düzenleyiciyle ilişki kurmasını sağlamak için tek duraklı mağaza (OSS) mekanizması, karar alma süreçlerinin – AB verilerinin işlenmesi açısından – o ülkede gerçekleşmesi gerekir. Ana kuruluş ilkelerinden biri budur. Ve tespit etmek istediğimiz şey, bunun Twitter için geçerli olmaya devam etmesi.”
İrlanda’nın OSS kapsamında GDPR için Twitter’ın baş düzenleyicisi olması önemlidir, çünkü konu soruşturma açarken (ya da açmazken) İrlandalı bekçi köpeğini sürücü koltuğuna oturtur veya Twitter’ın uyumluluğuyla ilgili endişeler üzerine hareket eder (örneğin, BM’yi takip etmek gibi). – şimdi DPO’nun istifasını bildirdi). Twitter’ın bakış açısından, düzenleme avantajlıdır, çünkü birden fazla veri koruma kurumundan (potansiyel olarak farklı dillerde) gelenleri ele almak yerine, herhangi bir sorun üzerinde yalnızca bir (öncü) düzenleyiciyle bağlantı kurması gerektiğinden uyumluluğu kolaylaştırır.
İrlanda, Twitter için baş denetçi rolüne sahiptir, çünkü şirket Dublin ofisini AB’deki “ana kuruluşu” olarak bildirebilmiştir – düzenlemede “Birlik’teki merkezi idarenin yeri” veya “ana kuruluşun bulunduğu yer” olarak ifade edilmektedir. işleme faaliyetleri Birlik içinde gerçekleşir”.
Bununla birlikte, Twitter’ın İrlanda’da artık bu işlem tabanına sahip olmadığı varsayılırsa, AB’nin 27 Üye Devletinden herhangi bir blok genelinde acil bir düzenleyici yeniden yapılandırma ve veri koruma yetkilileri soruşturma başlatabilir veya yerel şikayetler konusunda kendileri harekete geçebilir. Twitter’ın Avrupa işi için düzenleyici karmaşıklığı, hızı ve riski artırın.
Musk, geçen hafta Twitter’ın dünya çapındaki çalışan sayısının %50’sini düşürdü – ve İrlanda ofisinde her yıl rapor edilen bir “katliam”. İrlanda Times Yerel personelin %50’sinden fazlasının etkilendiğini söyleyen rapor – Dublin’de GDPR için ana kuruluş statüsünün istikrarı konusunda sorular ortaya çıktı.
“Twitter ile iletişime geçtik.. Ve bizim için onlarla tartışmak istediğimiz konulardan biri de ana kuruluş meselesi – herhangi bir değişiklik var mı? Ayrılmaların duyurulmasıyla birlikte – DPO da dahil olmak üzere – ana kuruluştan yararlanmalarına izin veren mevcut karar verme sürecini değiştirme planları var mı, ”diye yineledi Doyle.
Twitter’ın güvenlik ve gizlilik işlevinin üst düzey kademelerinde her şeyin yolunda olmadığına dair haberler dün öğleden sonra Twitter’a yayıldı.
Platformer gazetecileri Casey Newton ve Zoë Schiffer, Twitter’ın CISO’su, gizlilik şefi ve uyumdan sorumlu şefinin, elde ettikleri Twitter Slack’te paylaşılan mesajlara atıfta bulunarak istifa ettiğini bildirdi.
Kısa bir süre sonra, Washington Post’un Cat Zakrzewski tweetlendi İrlandalı DPC’nin Twitter’dan “daha fazla bilgi istediğini” söyledi.
Twitter Slack’te paylaşılan mesajlara göre, Twitter’ın CISO’su, baş gizlilik ofisi ve baş uyum görevlisi dün gece istifa etti.
Bir çalışan, “FTC gerekliliklerine ve diğer yasalara uygunluğun kendi kendini onaylamasının” mühendislere bağlı olacağını söylüyor.
— Casey Newton (@CaseyNewton) 10 Kasım 2022
YENİ: Twitter hukuk ekibinin kıdemli bir üyesi az önce Slack’te şu mesajı yayınladı: “Herkes bilmeli ki CISO’muz, Baş Gizlilik Görevlisi ve Baş Uyum Görevlisi ALL dün gece istifa etti. Bu haber, göreve dönüş dramasına gömülecek. Bunun kasıtlı olduğuna inanıyorum.”
— Zoë Schiffer (@ZoeSchiffer) 10 Kasım 2022
Twitter CISO’su Lea Kissner daha sonra bir tweet ile ayrıldığını doğruladı – tıpkı yaptığı gibi Damien Kieran, Twitter’ın artık eski gizlilik şefi. Twitter’ın (bildirildiğine göre eski) uyumdan sorumlu başkanı Marianne Fogarty, tweetlendi dün çok geç kalınmış bir dolaylı doğrulama ne olabilir – şöyle yazıyor: “Terapi perşembe günleri geç demek için yeni bir anlam kazandı. #AşkTwitter”.
Musk’ın devralmasından bu yana Twitter’ın basın hattına yapılan sorular yanıtsız kaldığından, neler olup bittiğine dair resmi bir bilgi almak mümkün değil.
Şirketin iletişim departmanı, Musk’ın devralma sırasında hızla uyguladığı %50 personel sayısı azalmasının büyük bir zayiatı olmuş gibi görünüyor – basın çalışanları ya tamamen ya da neredeyse tamamen işten çıkarıldı.
Ayrıca geçen hafta İrlanda’daki Twitter personelinin kaçının işten çıkarıldığı da belli değil. Şirketin genel işten çıkarma sayılarını DPC’ye bildirme yükümlülüğü yoktur. Bir düzenleyicinin ana kuruluşu değerlendirmek için kullanması gereken kriterler de GDPR’nin kendisinde şart koşulmadığı için net değildir – daha çok düzenleyicilerin belirlemesine bırakılmıştır. (Ana müessesenin belirlenmesine ilişkin yönetmelikte şöyle denilmektedir: “Birlikte bir kontrolörün esas müessesesi objektif kriterlere göre belirlenmeli ve işleme amaç ve araçlarına ilişkin ana kararları belirleyen yönetim faaliyetlerinin etkin ve gerçek bir şekilde icra edilmesini ifade etmelidir. istikrarlı düzenlemeler yoluyla” – ayrıca, “kriter, kişisel verilerin o yerde işlenip işlenmediğine bağlı olmamalıdır” veya “kişisel verilerin işlenmesi veya işleme faaliyetleri için teknik araçların ve teknolojilerin varlığı ve kullanımı” belirleyici olmamalıdır. yani ne olduğu konusunda daha kesin değil ana kuruluşu olduğundan daha fazla ilan etmek gerekir, bu da düzenleyicilere bu konuda yapacakları herhangi bir değerlendirmede biraz serbestlik verir.)
Ana kuruluşun değerlendirilmesi hakkında sorulan Doyle, statünün ülkede bulunan AB verilerinin işlenmesine yönelik karar verme tesisine bağlı olduğunu söyledi – ancak bunun DPO’nun yerel olarak kurulması gerektiği anlamına gelmediğini söyledi. (Şu anda eski Twitter DPO Kieran, San Francisco’da yaşıyor gibi görünüyor. LinkedIn profil.)
“Bizim için en önemli şey, bilgilendirilmemiz, DPO’nun kim olduğunu bilmemiz, iletişim bilgilerine sahip olmamız ve [the DPO is] Onunla iletişim kurmamız gereken herhangi bir zamanda iletişime geçilebilir. Kanunen coğrafi olarak belirli bir yerde olmaları gerekmiyor” dedi. “Kim olduklarını bilmemiz ve tüm ayrıntılara sahip olmamız gerekiyor. Ancak kilit nokta, karar verme parçasının – ana kuruluştan faydalanmak için – asıl kuruluşunuzun bulunduğu ülkede gerçekleşmesi gerektiğidir. ”
Doyle, “Bu değişirse – ve burada İrlanda’da karar alma gerçekleşmiyorsa – tüm denetleme makamları bunları düzenlemeye yetkilidir” diye ekledi.
Musk’ın Twitter için neyin tehlikede olduğunu anlayıp anlamadığı tartışmalı bir nokta. Twitter’ın temel uyum personelinin çoğu şimdi kapıdan çıktı – ve milyarderin etrafını saran ve onun trollüğünü tezahürat eden bir teknoloji ve evet-adam çemberi ile – bu oldukça şüpheli görünüyor.
Musk’ın ayrıca düzenleyicileri trolleme geçmişi de var, bu nedenle Twitter’ın yasal uyumluluğu üzerindeki etkileri göz ardı etme konusunda yoğun bir şekilde rahatlamış olması düşünülemez değil – bu DPC’nin endişelerini artıracak (ya da yapmalı), ana kuruluş statüsünün kaybını daha olası hale getirecektir. Musk, Rubicon’u geçtikten sonra, ‘boş dolaşmaktan’ ‘öğrenmeye’ kadar tüm yolu kıkırdayarak, AB’de veri koruması için düzenleyici bir sıfır noktasına ulaşacaktı. Blok genelinde, ülkelerindeki Twitter kullanıcılarının bilgilerine yönelik bir risk olduğuna karar veren herhangi bir DPA, doğrudan şirketinin peşine düşme yetkisine sahip olacaktır. Yani, temel olarak, düzenleyici herkes için ücretsiz ve dikkatli bir şekilde yetiştirilmiş lider süpervizör.
(Bunun yaratabileceği farkın bir örneği için bkz. Fransa’nın CNIL’si, 2019’da Google’a erken bir GDPR cezası aldı – ikincisi İrlanda’da ana kuruluş iddiasında bulunmadan ve sınır ötesi endişeleri İrlanda üzerinden yeniden yönlendirmeden önce, düzenleyici gözetim hızı OSS darboğazına sıkıştıkça GDPR uygulamasına ara verdi ; CNIL’den bu yana Google için hala büyük GDPR cezaları yok.)
DPO sorununa gelince, Twitter’ın sorunu daha küçük ama yine de ‘buzdağının görünen kısmı’ türünden bir sorun olabilir.
Kesinlikle Kieran’ın yerine birini ataması gerekecek – en azından hizmeti bölgedeki kullanıcılar için kullanılabilir durumdayken. GDPR kapsamında, belirli veri türlerini işleyen (ve/veya Twitter’ın yaptığı gibi yeterli ölçekte kişisel verileri işleyen) kuruluşların görevi, bağımsız bir uzman olması ve yeterli kaynaklara sahip olması gereken bir veri koruma görevlisi (DPO) atamakla yükümlüdür. işi yap – bu nedenle istifa ederek ayrılması (birden çok kıdemli uyum arkadaşıyla birlikte) bir soruna işaret ediyor.
DPO’nun rolü, düzenleyiciler (DPC gibi) için bir iletişim noktası olarak hareket etmenin yanı sıra, Veri Koruma Etki Değerlendirmelerini (DPIA’lar) derlemek için rehberlik sağlamak gibi veri koruma yükümlülüklerine iç uyumun izlenmesine yardımcı olmak ve tavsiyelerde bulunmaktır. Rol için uzmanlık ve bağımsızlık gereklidir. (Yani – hayır – Musk, kendisini veya salak yardakçılarından birini ‘Baş DPO’ olarak atayıp bu sorunun ortadan kalkmasını bekleyemez.)
Uyum elbette devam eden bir gerekliliktir – bu nedenle bu sorun bir varış noktası değil, bitmeyen bir yolculuktur. En azından Twitter, önemli değişiklikler hakkında onları bilgilendirmek için düzenleyicilerle iletişim kurmalı ve – Musk altında – bunu bile yapmıyor.
Musk altında ürün geliştirme de bir uyumluluk kabusu gibi görünüyor. Twitter Blue’nun kaotik versiyonu, açıkça, başlatıldığı anda alevlenen kimliğe bürünme sorunlarına neden olacaktı. Ve yüz milyonlarca kullanıcı için bilgi riskleri oluşturabilecek ürünleri düşüncesizce piyasaya sürmek, Avrupa veri koruma yönetmeliğinin ruhuna ve amacına doğrudan aykırıdır.
Musk’ın yenilenen Twitter Blue abonelik ürününün piyasaya sürülmesinin hızlı temposu göz önüne alındığında, örneğin – bir DPIA’nın piyasaya sürülmeden önceki riskleri değerlendirmek için nasıl düzgün bir şekilde üstlenilebileceğini görmek zor – bu Kieran’ın ve diğer kıdemli uyum çalışanlarının istifasını kısmen açıklayabilir. eğer işlerini yürütemeyeceklerini hissettilerse.
Yeterince nitelikli olan hangi kişinin bu koşullarda böyle bir rolü üstlenmeyi bilerek kabul edeceği başka bir büyük sorudur. Twitter’ın DPO’su olacak kadar kalifiye olan herkes, işi yapmanın mümkün olmadığı sonucuna varabilir – en azından mevcut Chief Twit altında değil.
Ve yukarıda belirtildiği gibi, Musk, daha fazla incelemeye davet edecek ve Twitter’ın gözetim kurumlarıyla ilişkisini daha da zayıflatacak ve düzenleyici riskini artıracak bir şaka randevusu yaparak düzenleyicileri trollemeye çalışırsa. (DPC’nin yanı sıra FTC ve Avrupa Komisyonu’nun Musk’ın Twitter’da ne yaptığını takip etmek için acil nedenleri var.)
GDPR’ye uymamanın cezaları, en korkunç ihlaller için küresel yıllık cironun %4’üne kadar ölçeklenebilir (bu nedenle teorik olarak maksimum düzeyde yetersiz değildir). Her ne kadar bir DPO’yu uygun şekilde atamamak (veya ayrılmayı bildirmek) için para cezaları – tipik olarak – bu başlık kategorisine girmez.
Örneğin, gıda dağıtım uygulaması Glovo, İspanya’nın DPA’sı tarafından 2020’de bir DPO atamadığı için 25 bin Euro para cezasına çarptırılırken, Belçika DPA aynı yıl bir uyum, denetim ve risk başkanı ataması nedeniyle açıklanmayan bir kuruluşa 50 bin Euro para cezası verdi. DPO olarak – bulduktan sonra bir çıkar çatışması yarattı.
Bu arada Twitter’ın bugüne kadarki tek GDPR cezası, bir veri ihlalini derhal beyan etmemesi ve uygun şekilde belgelememesi nedeniyle Aralık 2020’de verilen 550 bin dolarlık bir cezaydı. Çok küçük bir bira.
Ancak, Musk altında Twitter açıkça çok farklı bir hayvandır. Ve böylesine büyük ölçüde değişen bir bağlamda, düzenleyicilerin nasıl tepki vereceğine dair tüm bahisler kapalı.
genel-24