![Şimdiye Kadarki En Büyük 20 GDPR Cezası [2019, 2020, 2021 & 2022]](https://www.nesilteknoloji.com/wp-content/uploads/2022/07/Simdiye-Kadarki-En-Buyuk-20-GDPR-Cezasi-2019-2020-2021-2022-min-1200x600.jpeg "Şimdiye Kadarki En Büyük 20 GDPR Cezası [2019, 2020, 2021 & 2022]")
GDPR Para Cezaları İki Seviyeli Ceza Sistemi ve En Büyük 5 GDPR İhlali
Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) genelinde veri koruma politikalarını tek çatı altında birleştiren ve bunu ağır idari para cezaları ile destekleyen çerçeve düzenlemedir. 2018 Mayıs ayında yürürlüğe girmesinden bu yana, GDPR yalnızca teknik bir mevzuat değil; aynı zamanda AB düzenleyicilerinin veri koruma uyumunu zorlayıcı şekilde uygulama iradesinin somut ifadesi hâline gelmiştir.
GDPR yürürlüğe girdikten sonra; denetim otoritesine sahip 20 Avrupa ülkesinde toplamda 68 GDPR para cezası uygulanmıştır. Çek Cumhuriyeti, Almanya ve Macaristan, her biri 9’ar ceza ile en fazla yaptırım uygulayan ülkeler olarak öne çıkmaktadır. Belçika, Yunanistan, İtalya, Litvanya, Malta, Hollanda, Portekiz ve İsveç gibi ülkeler ise şimdiye kadar tekil fakat sembolik önemde cezalar ile düzenleyici iradeyi ortaya koymuştur.
Finbold analizlerine göre, Temmuz 2020 – Temmuz 2021 döneminde GDPR ihlallerinin sayısı %113,5; aynı dönemde verilen GDPR para cezalarının sayısı ise %124,92 oranında artmıştır. Bu tablo, denetim makamlarının kurumsal veri işleme faaliyetlerini daha yakından izlediğini ve “kâğıt üzerinde uyum” yerine fiilî uyumu hedeflediğini göstermektedir.
• GDPR, AB ve AEA genelinde birlikte uygulanabilir tek veri koruma standardı getirir.
• 2018’den itibaren 20 ülkede en az 68 ceza uygulanmış, denetim trendi yukarı yönlüdür.
• Ceza sistemi iki kademelidir: 10 milyon € / %2 ve 20 milyon € / %4 tavan sınırları.
• Amazon, WhatsApp, Google, Facebook ve H&M; GDPR tarihinin en yüksek cezalarına konu olmuştur.
• Çerez yönetimi, reklam hedefleme ve şeffaflık eksiklikleri, yüksek riskli ihlal alanları olarak
öne çıkmaktadır.
1. GDPR ve AB’de Veri Koruma Uygulaması
Genel Veri Koruma Yönetmeliği (GDPR), AB yasa koyucularının AEA genelinde dağınık veri koruma yasalarını birleştirme ve yüksek para cezalarıyla desteklenen tek bir standart altında toplama iradesini temsil eder. Yönetmelik; şeffaflık, hesap verebilirlik, veri minimizasyonu ve veri sahiplerinin haklarını (erişim, düzeltme, silme, itiraz, taşınabilirlik vb.) uygulanabilir kılan güçlü bir denetim mekanizması içerir.
GDPR sonrası ilk dönemde, pek çok denetim otoritesi altyapı, insan kaynağı ve süreçlerini yeni rejime uyarlama aşamasındaydı. Buna rağmen; 20 Avrupa ülkesinde toplam 68 para cezası uygulanmış, Çek Cumhuriyeti, Almanya ve Macaristan 9’ar ceza ile listenin üst sıralarında yer almıştır. Belçika, Yunanistan, İtalya, Litvanya, Malta, Hollanda, Portekiz ve İsveç gibi ülkeler ise tekil fakat güçlü örnek teşkil eden ceza kararlarıyla GDPR uygulamasını somutlaştırmıştır.
| Ülke | Ceza Sayısı (Örnek) | Genel Eğilim |
|---|---|---|
| Çek Cumhuriyeti | 9 | Erken dönemde aktif denetim ve örnek kararlar |
| Almanya | 9 | Eyalet bazlı otoritelerle yoğun uygulama |
| Macaristan | 9 | Farklı sektörlerde disiplinli yaptırım yaklaşımı |
| Belçika, İtalya, Hollanda vb. | 1 | Tekil, yüksek etki yaratan örnek cezalar |
Finbold verilerine göre; Temmuz 2020 ile Temmuz 2021 arasında GDPR ihlallerinde %113,5, aynı dönemde para cezalarının sayısında ise %124,92 oranında artış gözlemlenmiştir. Bu artış, denetim otoritelerinin yalnızca şikâyetleri değil, proaktif denetim ve sektör bazlı incelemeleri de devreye aldığını göstermektedir.
2. İki Seviyeli GDPR Para Cezası Sistemi
GDPR, uyum ihlallerine uygulanacak idari para cezalarını iki ana seviyede düzenler. Böylece ihlalin niteliği, kapsamı ve etkisine göre orantılı bir yaptırım mekanizması öngörülür.
2.1. Düşük Seviye Para Cezası
Düşük seviye GDPR para cezaları, 10 milyon €’ya kadar veya önceki mali yıldaki dünya çapındaki yıllık cironun %2’sine kadar uygulanabilir (hangisi yüksekse). Bu kategori genellikle:
- Veri işleme kayıtlarının eksik tutulması,
- Veri koruma etki analizinin (DPIA) yapılmaması,
- Veri koruma görevlisinin (DPO) atanması gereken durumlarda atanmaması,
- Veri işleyenlerle yapılan sözleşmelerde (DPA) eksiklikler
gibi daha çok idari ve organizasyonel yükümlülük ihlallerinde gündeme gelir.
2.2. Üst Seviye Para Cezası
Üst seviye GDPR para cezaları ise, 20 milyon €’ya kadar veya bir önceki yıla ait küresel cironun %4’üne kadar uygulanabilir. Bu seviye daha çok:
- Temel ilkelere aykırılık (hukuka uygunluk, dürüstlük, şeffaflık, veri minimizasyonu vb.),
- Veri sahibi haklarının sistematik şekilde ihlali (erişim, silme, itiraz vb.),
- Açık rızanın ya da meşru menfaat dengesinin gözetilmemesi,
- Çerez ve çevrim içi izleme araçlarıyla yanıltıcı onay mekanizmaları kurulması,
- Özel nitelikli kişisel verilerin yetkisiz ve ölçüsüz işlenmesi
gibi daha ağır nitelikteki ihlallerde uygulanmaktadır.
| Seviye | Tavan Tutar | Tipik İhlal Türleri |
|---|---|---|
| Düşük Seviye | 10 milyon € / Global cironun %2’si | Organizasyonel eksiklikler, kayıt tutma, DPIA, DPO atama ihlalleri |
| Üst Seviye | 20 milyon € / Global cironun %4’ü | Temel ilke ihlalleri, şeffaflık, rıza, hak ihlalleri, ağır veri ihlali vakaları |
3. Şimdiye Kadarki En Büyük 5 GDPR Cezası
AB üye ülkeleri arasında en yüksek bireysel GDPR cezaları; Lüksemburg, İrlanda, Fransa, Almanya, İtalya ve Birleşik Krallık gibi düzenleyici otoritelerin kararlarıyla gündeme gelmiştir. Bu kararlar, özellikle büyük teknoloji şirketlerinin reklam hedefleme, çerez yönetimi ve çalışan verileri konularındaki uygulamalarına odaklanmaktadır.
| Şirket | Ülke / Otorite | Tutar | Temel İhlal Konusu |
|---|---|---|---|
| Amazon | Lüksemburg / CNPD | 746 milyon € | Uygun izin olmaksızın reklam hedefleme ve kişisel veri işleme |
| WhatsApp İrlanda | İrlanda / DPC | 225 milyon € | Şeffaflık yükümlülükleri, veri paylaşımı ve bilgilendirme eksiklikleri |
| Google LLC | Fransa / CNIL | 90 milyon € | Çerezleri reddetme mekanizmasının kabul kadar kolay olmaması |
| Facebook İrlanda | Fransa / CNIL | 60 milyon € | Çerez reddetme sürecinin karmaşık ve yanıltıcı tasarlanması |
| H&M | Almanya / Hamburg BfDI | 35,25 milyon € | Çalışanların hassas kişisel verilerinin ölçüsüz profil çıkarma amacıyla kullanılması |
3.1. Amazon – 746 Milyon € (Lüksemburg)
16 Temmuz 2021’de Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD), Amazon.com Inc.’e 746 milyon € tutarında GDPR cezası uygulamıştır. Soruşturma sonucunda, Amazon’un müşterilerinin kişisel verilerini, uygun izin alınmaksızın yürütülen reklam hedefleme mekanizmaları kapsamında işlediği tespit edilmiştir. Bu karar, veri temelli reklam ekosisteminde rıza ve meşru menfaat sınırlarının ne kadar kritik olduğunu göstermektedir.
3.2. WhatsApp İrlanda – 225 Milyon €
2 Eylül 2021’de İrlanda Veri Koruma Otoritesi Veri Gizliliği Komisyonu (DPC), Facebook’a ait anlık mesajlaşma hizmeti WhatsApp İrlanda’ya 225 milyon € tutarında GDPR cezası vermiştir. Kararın odağında:
- WhatsApp’in kullanıcıları, verilerinin Facebook ve diğer şirketler ile nasıl paylaşıldığı konusunda yeterince şeffaf bilgilendirmemesi,
- Veri işleme faaliyetlerinin kapsam ve amaçlarının; kullanıcı, iş ortağı ve üçüncü taraflar açısından yeterince anlaşılır şekilde ortaya konmaması
yer almıştır.
3.3. Google LLC – 90 Milyon € (CNIL)
31 Aralık 2021’de Fransa Veri Koruma Otoritesi CNIL, Google LLC’ye 90 milyon € para cezası uygulamıştır. Gerekçe; Fransa’daki YouTube kullanıcılarının çerezleri kabul etmeleri kadar kolay bir şekilde reddedememeleridir. CNIL’e göre:
- Çerezleri reddetme mekanizmaları, kabul mekanizmasına kıyasla daha karmaşık ve zahmetli tasarlanmıştır.
- Bu durum, kullanıcılarda “çerez reddetmeyi erteleme” davranışı yaratmış ve çerez bazlı reklam gelirine dayanan şirket lehine bir dengesizlik oluşturmuştur.
- Şirketlere, Fransa’da yerleşik kullanıcılara üç ay içinde çerezleri reddetmeleri için kabul kadar basit bir yöntem sunmaları; aksi hâlde gecikme başına günlük 100.000 € ceza tehdidi getirilmiştir.
Çerez düzenlemesi doğrudan eGizlilik Yönergesi kapsamında olsa da, rıza alma yöntemlerine ilişkin yükümlülükler GDPR çerçevesinde değerlendirildiğinden, bu yaptırım GDPR cezası olarak da sınıflandırılmaktadır.
3.4. Facebook İrlanda – 60 Milyon €
Benzer şekilde, Facebook İrlanda da çerez yönetiminde kabul-red dengesini bozduğu için CNIL tarafından 60 milyon € cezaya çarptırılmıştır. İnceleme sonucunda:
- Çerezleri kabul etmek için tek tıklamayla işlem yapılabilirken,
- Çerezleri reddetmek için birden fazla tıklama ve ikinci bir sayfaya geçiş gerektiği,
- Reddetme seçeneğinin kafa karıştırıcı şekilde “Çerezleri kabul et” etiketi altında sunulduğu
tespit edilmiştir. Bu yaklaşım, hem yanıltıcı kullanıcı deneyimi (dark pattern) hem de şeffaflık ve rıza ilkelerine aykırılık olarak değerlendirilmiştir.
3.5. H&M – 35,25 Milyon €
Hamburg Veri Koruma ve Bilgi Özgürlüğü Komiseri (BfDI), İsveç merkezli perakende şirketi Hennes & Mauritz (H&M)’e 35,25 milyon € tutarında GDPR cezası vermiştir. Kararın arka planında:
- Şirkette yaşanan teknik bir hata nedeniyle, ağ sürücüsündeki belirli verilere bir süre boyunca yetkisiz erişim sağlanabilmesi,
- H&M’nin, çalışanlar hakkında fısıltı kampanyaları, dedikodular ve farklı kaynaklar üzerinden hassas kişisel veriler toplayarak profil oluşturması,
- Bu profillerin; sağlık, hastalık, semptomlar, tatil planları ve aile ilişkileri gibi son derece mahrem bilgileri içermesi ve bu verilerin istihdam süreçlerinde kullanılması
yer almaktadır. Karar, özellikle çalışan verisi işlenmesinde sınırların hattını çizen kritik bir GDPR içtihadı olarak öne çıkmaktadır.
Kaynak: Kişisel Verileri Koruma Kurumu
4. Sektörel Etkiler, Uyum Süreci ve Geleceğe Bakış
GDPR para cezalarındaki artış, Avrupa’daki denetim makamlarının uygulama ekiplerini güçlendirdiğini ve yeni veri gizliliği rejimine kurumsal düzeyde uyum beklediklerini gösteriyor. “Avrupa genelindeki denetim makamları, uygulama ekiplerini oluşturuyor ve yeni rejimle başa çıkıyor.” ifadesi, önümüzdeki dönemde:
- Daha fazla sektör odaklı rehber ve bağlayıcı karar,
- Büyük teknoloji şirketleri yanında KOBİ ve orta ölçekli işletmeleri de kapsayan incelemeler,
- Çerez yönetimi, reklam teknolojileri, yapay zekâ ve profil çıkarma alanlarında daha sıkı uygulama,
- Veri ihlali bildirimlerinin daha agresif şekilde soruşturulması
anlamına gelmektedir.
2022 ve sonrasında, hem AB içinde yeni veri gizliliği düzenlemeleri hem de GDPR ihlalleri için daha fazla yaptırım ve daha yüksek para cezaları gündeme gelmeye devam edecektir. Türkiye’de faaliyet gösteren ve AB’de kullanıcıya dokunan şirketler açısından bu tablo:
- KVKK uyumu ile GDPR uyumunun tek çatı altında yönetilmesini,
- Çerez yönetim platformu, aydınlatma metinleri, açık rıza ve tercih yönetiminin teknolojik araçlarla desteklenmesini,
- Reklam hedefleme, profilleme ve analitik süreçlerinin hukuk ve pazarlama ekipleri tarafından birlikte tasarlanmasını
zorunlu kılmaktadır.
5. Sık Sorulan Sorular
GDPR yalnızca AB’de kurulu şirketler için mi geçerlidir?
Hayır. GDPR; AB/AEA’da kurulu şirketlerin yanı sıra, AB’de yerleşik veri sahiplerine mal veya hizmet sunan ya da AB’deki kişilerin çevrim içi davranışlarını izleyen (örneğin çerezler, analitik, reklam ID’leri üzerinden) AB dışı şirketler için de geçerlidir. Bu kapsamda, Türkiye’de kurulmuş olup AB’de kullanıcıya dokunan şirketler de GDPR yükümlülükleri altına girebilir.
GDPR para cezası tavanı nasıl hesaplanır?
GDPR, iki kademeli bir tavan sistemi öngörür: alt seviye için 10 milyon € veya global cironun %2’si, üst seviye için ise 20 milyon € veya global cironun %4’ü (hangisi yüksekse). Nihai ceza tutarı; ihlalin niteliği, süresi, kasıt düzeyi, etkilenen kişi sayısı ve işbirliği gibi kriterlere göre denetim makamı tarafından belirlenir.
Çerez ihlalleri gerçekten GDPR cezasına konu olabilir mi?
Evet. Çerezler aslen eGizlilik Yönergesi kapsamında düzenlense de, çerezler yoluyla elde edilen verilerin işlenmesi ve rızanın alınma yöntemi GDPR’ın rıza, şeffaflık ve veri işleme ilkeleri çerçevesinde değerlendirilir. Google ve Facebook örneklerinde görüldüğü gibi, çerezleri reddetmenin kabul kadar kolay olmaması ve yanıltıcı arayüzler, ciddi GDPR cezalarına konu olabilmektedir.
GDPR ve KVKK uyumu birlikte nasıl yönetilmelidir?
En pratik yaklaşım; tek bir veri koruma yönetim sistemi altında hem KVKK hem de GDPR yükümlülüklerini eşleştirmek, veri envanteri ve saklama sürelerini ortaklaştırmak ve çerez ile aydınlatma süreçlerini merkezi bir platform üzerinden yönetmektir. Böylelikle çoklu mevzuat riskleri azaltılır, denetimlere karşı hesap verebilirlik güçlenir.
GDPR cezası almak hangi riskleri beraberinde getirir?
Yüksek parasal tutarların yanı sıra; marka itibarı, yatırımcı algısı, iş ortaklıkları ve kullanıcı güveni üzerinde ciddi olumsuz etki yaratır. Pek çok kararda, denetim otoriteleri şirketlerin şeffaf iletişim kurmaması ve ihlal sonrası yetersiz aksiyon almasını cezayı artırıcı unsur olarak değerlendirmiştir.
