GDPR Kapsamında Günümüze Kadar Verilmiş Olan En Yüksek 20 Para Cezası

Ülkelere Göre Para Cezaları Toplamı

2020 yılının sonunda İtalya’ da, İtalyan Veri Koruma Kurumu (Garante), meydana gelen GDPR ihlallerini yüksek para cezaları ile önlemeye hazır olduklarını göstererek, toplamda 70 Milyon Euro para cezası verdi.

2021 yılına gelindiğinde, verilen para cezalarında İtalya, 76 Milyon Euro’ nun biraz üzerindeki  ceza miktarı ile hala birinci sıradayken, onu 63 milyon Euro ile Almanya, 54 Milyon Euro ile Fransa, 44 milyon Euro ile Birleşik Krallık ve 25 Milyon Euro ile İspanya takip ediyor. Ancak, Lüksemburg Ulusal Veri Koruma Komisyonu  tarafından Temmuz 2021 tarihinde  Amazon’ a verilen para cezasının bu sırayı değiştirme potansiyeline sahip olduğunu belirtmek isteriz.

Verilen toplam para cezasının en düşük olduğu ülkelere baktığımızda ise, Avusturya, İzlanda, Man Adası, Malta ve Hırvatistan’ın en alt sıralarda yer aldığını görüyoruz.

Öte yandan Avrupa Birliği’ ne üye devletlerin veri koruma kurumlarının tamamının faaliyetlerine bakıldığında, İspanyol Veri Koruma Kurumu’nun (AEPD) hepsinden daha aktif olduğu göze çarpıyor. 

Şimdiye Kadarki* En Yüksek 20 Para Cezası

Avrupa Birliği’ ne üye devletler arasında, en yüksek para cezaları Fransa, Almanya, İtalya ve Birleşik Krallık tarafından verildi. Her ne kadar British Airways’a verdiği para cezası miktarı ile geçtiğimiz yıl Avusturya’da da bu ülkeler arasında idiyse de söz konusu para cezasının miktarı değişti ve kendisi listedeki yerini kaybetti. 

* 746 Milyon Euro – Amazon  – Lüksemburg

16 Temmuz 2021 tarihinde, CNDP tarafından, GDPR ihlalinden kaynaklanan şimdiye kadarki (bilinen) en yüksek para cezası, 746 Milyon Euro ile Amazon.com Inc’ e verildi. Ancak yukarıda belirttiğimiz gibi bu para cezasını listeye almıyoruz. 

1- 50 Milyon Euro – Google France – Fransa

21 Ocak 2019 tarihinde, Fransız Ulusal Bilişim  ve Özgürlük Komisyonu (CNIL) tarafından, Google’ a şeffaflık eksikliği, yetersiz bilgilendirme ve kişiselleştirilmiş reklamlar ile ilgili geçerli onay eksiklikleri nedeniyle 50 Milyon Euro para cezası verildi. CNIL’e göre, Google, kullanıcılarına izin politikaları hakkında yeterli bilgi sağlamakta ve kişisel verilerinin nasıl işleneceği konusunda kullanıcılarına kontrol hakkı vermekte başarısız oldu.

2- 35.3 Milyon Euro – Hennes & Mauritz (H&M) – Almanya

Hamburg Veri Koruma ve Bilgi Özgürlüğü Komiseri (BfDI) tarafından, İsveçli perakende şirketi olan  Hennes & Mauritz’ e (H&M), 35.5 Milyon Euro para cezası verildi. Karara konu olayda, teknik bir hata sonucunda  şirketin tüm çalışanları, şirketin ağ sürücüsünde bulunan bütün verilere birkaç saatliğine erişebildi. Böylece şirketin, çalışanlarının profillerini oluşturabilmek için iftira kampanyaları, dedikodular ve diğer kaynaklar aracılığıyla çalışanlarının hassas nitelikli kişisel verilerini topladığı ve bu verileri çalışanların istihdam sürecinde kullandığı ortaya çıktı. Hassas nitelikli kişisel veriler, çalışanların hastalık teşhisleri ve semptomlarını içeren tıbbi kayıtlarını ve yine çalışanların tatil ve ailevi ilişkileri gibi özel ayrıntıları içeriyordu.

3- 27.8 Milyon Euro – TIM  – İtalya

15 Ocak 2020 tarihi İtalyan bir Telekomünikasyon şirketi olan TIM açısından kritik bir gündü. Oldukça geniş bir ihlal listesi sebebiyle Garante tarafından şirkete 27.8 Milyon Euro para cezası verildi. İtalyan şirket, hukuka uygun rıza ve diğer yasal dayanaklar olmaksızın kendi müşterisi olmayan ve belirli sayıda (ayda 150 kişiden fazla) kişiyle bir defadan fazla iletişim kurmuştu. Şirketin telefon görüşmeleri sonucunda kişilerden topladığı bilgiler; ad, soyad, şirket adı, vergi numarası, telefon numarası, adres bilgileri vb. gibi oldukça kişisel veriyi içeriyordu. Bu nedenle, bir kaç milyon kişi, TIM’ in agresif pazarlama stratejisinin mağduru oldu.

4- 22.4 Milyon Euro – British Airways – Birleşik Krallık

2019 yılında, Bilgi Komiserliği Ofisi (Information Comissioner’s Office – ICO), GDPR’ın 31’ inci maddesini ihlal ettiği gerekçesiyle, British Airways’ a 183.39 Milyon Sterlin (204.6 Milyon Euro) para cezası verme niyetinde olduğunu açıkladı. Başlangıçta şimdiye kadar açıklanan en yüksek para cezası olarak olma niteliğini taşıyan bu ceza, COVID-19 salgını ve salgının havayolu şirketleri üzerindeki negatif etkileri de dikkate alınarak 20 Milyon Sterlin’ e düşürüldü.

Temmuz 2018’ de meydana gelen, fakat Eylül 2018’ de keşfedilen olayda; birkaç ay boyunca British Airway web sitesi kullanıcı trafiği, başka bir hacker web sitesine yönlendirilmiş ve 400.000’ den fazla British Airways müşterisinin kişisel verilerinin bilgisayar korsanları tarafından çalınmasına neden olunmuştu. ICO’nun resmi açıklamasına göre; havayolu şirketinin yeterli güvenlik önlemi almaksızın ciddi miktarda kişisel veri işlediği, veri koruma yasasını ihlal ettiği ve şirketin bu tür siber saldırıları önlemek için yeterli altyapısı olmaması sebebiyle, 2018 yılında 2 aydan uzun bir süre tespit edilemeyen bir siber saldırıya maruz kaldığı tespit edilmişti. ICO, British Airways’in yeterli güvenlik önlemlerine sahip olmaması nedeniyle, müşterilerinin sisteme giriş bilgileri, ödeme – kart bilgileri, seyahat ve rezervasyon bilgilerinin yanı sıra, isim-soyisim ve adres bilgileri de dahil olmak üzere pek çok kişisel verilerinin tehlikeye atıldığı bildirmişti.

5- 20.45 Milyon Euro – Marriott International – Birleşik Krallık

2019 yılında ICO,  Marriott International’ a GDPR’ı ihlal ettiği gerekçesiyle 99 Milyon Sterlin para cezası verme niyetinde olduğunu açıkladı.  Karara konu olay, 339 milyondan fazla Marriott International misafirinin kişisel verilerini sızdıran siber saldırıyla alakalıydı. 339 milyon misafirin 31 milyonu Avrupa Ekonomik Alanı sakiniydi.

Marriott International, Starwood Otelleri’ni satın aldıktan sonra siber saldırıya maruz kalmıştı. Ancak Ofis (ICO), Marriott’ un satın alma işlemlerinden sonra gerektiği gibi durum tespiti yapamadığını ve gerekli güvenlik önlemlerini almayı ihmal ettiğini belirtti. Bir yıldan fazla devam eden soruşturmanın ardından ICO, bir dizi hafifletici sebep ve COVID-19 salgınının olumsuz etkileri nedeniyle, 30 Ekim 2020 tarihinde Marriott International’ a verilen 99 Milyon Sterlin para cezanın, 18.4 Milyon Sterlin’ e indirildiğini açıkladı.

Ancak, bu ihlal Marriot’ta gerçekleşen son ihlal olmadı. Nitekim 2020 yılında Marriott International bu defa 5.2 milyon kişiyi etkileyen bir başka veri ihlali durumu ile karşı karşıya geldi.

6- 16.7 Milyon Euro – Wind Tre S.p.A – İtalya

13 Temmuz 2020 tarihinde, Garante tarafından İtalyan telekomünikasyon şirketi Wind Tre S.p.A’ ya 16.7 Milyon Euro para cezası verildi.

Karara konu olayın dayanağını, yüzden fazla şikayetçinin telefon aramaları, faks gönderimi, SMS ve otomatik aramalar gibi uygun rızaları alınmaksızın yapılan şirketin agresif pazarlama faaliyetleri hakkında şikayette bulunması oluşturdu. Bunlara ilave olarak şirketin birçok müşterisi önceden verdikleri rızalarını kişisel verileri halka açık telefon rehberinde işlenirken geri alamadıklarından ve hatta bu verilerin işlenmesine itiraz dahi edemediklerinden bahisle de şikayette bulunmuştu.  

Garante’nin uzun süren araştırması sonucunda, telekomünikasyon şirketinin kullandığı “MyWind” ve “My3” gibi uygulamaların, kullanıcıların her erişimde çeşitli amaçlarla (pazarlama, profil oluşturma, verilerin üçüncü tarafa aktarılması, veri zenginleştirme  ve coğrafi konum tespiti vs. gibi) verilerinin işlenmesine uygun rıza vermelerini gerektirecek şekilde yapılandırıldığı ve kullanıcıların uygulamaya verdikleri uygun rızalarını geri alınmasının sadece 24 saatlik süre içerisinde mümkün olduğu tespit edildi.

7- 12.25 Milyon Euro – Vodafone Italia  – İtalya

12 Kasım 2020 tarihinde Garante, telekomünikasyon şirketi ola Vodafone Italia’ya kullanıcılarının kişisel verilerinin telefonla pazarlama amacıyla hukuka aykırı olarak işlediği gerekçesiyle 12.25 Milyon Euro para cezası verdi.

Çok sayıda kullanıcının, isteklerine aykırı bir şekilde, Vodafone ve  satış ağları tarafından hizmetlerini tanıtmak amacıyla yapılan telefonla aranmaları hakkında şikayette bulunması üzerine Garante’ uzun süren bir soruşturma yürüttü ve sonuç olarak 4.5 milyon kullanıcıdan uygun rıza alınmaksızın harici sağlayıcılardan elde edilen kişisel verilerinin saklandığı bir depolama sisteminin bulunduğu, bunun da Vodafone Italia’ nın tüm İtalyan müşterilerinin etkilenmesine neden olduğu ortaya çıktı.

8- 10.4 Milyon Euro – Notebooksbilliger.de –  Almanya

8 Ocak 2021 tarihinde, Alman elektronik perakende şirketi Notebooksbilliger.de’ ye, hiçbir yasal dayanak olmaksızın, iki yıl boyunca çalışanlarının izin ve bilgisi olmaksızın  işyerindeki, satış ofislerindeki, depolardaki ve ortak alanlardaki görüntülerini kaydetmesi sebebiyle 10.4 Milyon Euro GDPR para cezası verildi.

Notebooksbilliger, şirket içerisindeki bu alanların kapalı devre kameralar (CCTV) ile görüntülenmesinin nedeninin, hırsızlıkların önüne geçilmek istenmesi ve görüntülerin ceza soruşturmalarında kullanılmasını sağlamanın yanı sıra depolardaki ürün akışlarının da takip edilebilmesinin sağlanması olduğunu iddia etti.

Eyalet Veri Koruma Komiseri (State Commissioner for Data Protection, “LfD”) tarafından bu savunmaya karşı ileri sürülen iki esas itiraz ise, şirketin içerisinde yapılan kamera kayıtlarının hiçbir yasal dayanağının bulunmaması ve  yapılan kayıtların iki yıl boyunca gerekenden önemli kabul edilebilcek ölçüde (60 gün) uzun süre saklanmasıydı.

9- 8.5 Milyon Euro – Eni Gas e Luce – İtalya

17 Ocak 2020 tarihinde Garante, telefonla pazarlama ve telefonla satış faaliyetleriyle bağlantılı olarak, şirket müşterilerinin uygun rızaları alınmadan ve müşterilerin reklam amaçlı aramaları almak istemediklerini daha önce belirtmelerine rağmen bu beyanları dikkate alınmaksızın yapılan reklam aramaları ve potansiyel müşterilerinin kişisel verilerini, veri sağlayıcıların uygun rıza alınmaksızın oluşturdukları listeleri satın alarak da işlemesi sebebiyle Eni Gas e Luce şirketine 8.5 Milyon Euro para cezası verdi.

10- 8.15 Milyon Euro – Vodafone Spain – İspanya

11 Mart 2021 tarihinde, İspanyol Veri Koruma Kurumu (The AEPD) tarafından telekomünikasyon şirketi Vodafone Spain’ e 8.15 Milyon Euro para cezası verildi.

Verilen ceza aslında 4 cezadan oluşuyordu: Bunlardan iki tanesi GDPR ihlali ve iki tanesi ise dijital haklar ve telekomünikasyon ve çerezler ile ilgili İspanyol yasalarının ihlali idi.

Şirket müşterilerinin hukuka uygun rızaları olmaksızın, onları istenmeyen pazarlama stratejileri (aramalar, SMS gönderimi, E-posta gönderimi vs.) ile hedef almıştı, hatta müşterilerin reklam amaçlı aranmak istemediklerini daha önce belirtmelerine rağmen bu kişileri listelere dahil etmişti. Ayrıca GDPR’da öngörülen koşulları sağlamamasına rağmen uluslararası bir veri aktarımını onaylamış ve işlenen verilerin kaynağını ya da hukuka uygunluğunu teyit edecek araçlar olmaksızın veri işlediği ortaya çıkmıştı.

11- 6 Milyon Euro – CaixaBank –  İspanya

13 Ocak 2021 tarihinde, İspanyol Veri Koruma Kurumu (AEPD)  CaixaBank S.A’ ya, kişisel verilerin hukuka aykırı işlediği ve ilgili kişileri yeterince aydınlatmadığı gerekçesiyle  6 Milyon Euro para cezası verdi.

CaixaBank’ a verilen bu ceza iki farklı ihlale dayanıyordu:  İlk ihlal, bankanın kişisel verileri işlemek için hukuki bir temelinin olmaması, ikincisi ise, Yönetmelik’ in 13’ üncü ve 14’ üncü maddelerinde yer alan şeffaflık ilkesine aykırı hareket etmesiydi.

12- 5 Milyon Euro –BBVA –  İspanya

11 Aralık 2020 tarihinde AEPD, Banco Bilbao Vizcaya Argentaria’ ya (BBVA), aydınlatma yükümlülüğünü gereği gibi yerine getirmediği gerekçesiyle 2 Milyon Euro, verileri hukuka aykırı şekilde işlediği gerekçesiyle 3 Milyon Euro olmak üzere toplamda 5 milyon Euro  para cezası verdi.

AEPD’ye göre veri sorumlusu gizlilik politikalarında açık olmayan terimler kullanmış ve işlenen kişisel veri kategorilerini yeterli şekilde belirtmemişti. 

13- 5 Milyon Euro – Google Sweden –  İsveç

İsveç Veri Koruma Kurumu, GDPR’ı ihlal ettiği gerekçesiyle Google Sweden’ a 75 Milyon İsveç Kronu  para cezası verildi.

Her şey Kurumun 2017 yılında, kişilerin unutulma hakkı kapsamında, Google’ ın arama motorlarından isimlerinin silinmesi taleplerini ne şekilde ele aldığını  incelenmesi ile başladı. İnceleme neticesinde Kurum, Google’ ın çok sayıda arama motoru listesini kaldırma emrine tam olarak uymadığını tespit etti.

14 – 4.5 Milyon Euro- Fastweb  –  İtalya

25 Mart 2021 tarihinde Garante, Fastweb şirketine kullanıcılarının rızaları olmaksızın kişisel verilerini telefonla pazarlama amacıyla işlemesi ve ayrıca İtalyan iletişim operatörleri listesine kayıtlı olmayan telefon numaralarını kullanması sebebiyle 4.5 Milyon Euro para cezası verdi.

15- 3 Milyon Euro – Eni Gas e Luce – İtalya

Garante bu kararı, 9. maddede belirtilen karar ile aynı günde ve aynı işletmeye verdi. 

Miktarı daha az olan bu para cezası, 7200 kişinin etkilendiği, serbest piyasadaki enerji ve gaz tedariki ile alakalı olarak yapılan istenmeyen sözleşmeler sebebiyle verildi. 

16- 2.9 Milyon Euro – Capio St. Göran – İsveç

12 Mart 2020 tarihinde, İsveç Veri Koruma Kurumu, tıp sektöründe faaliyet gösteren bir şirket olan Capio St. Göran şirketine bilgi güvenliğini sağlayamamak ve yeterli idari ve teknik tedbirleri almaması sebebiyle 2.9 Milyon Euro para cezası verdi.

Soruşturma neticesinde, sağlık verileri dahil olmak üzere kullanıcılara tüm hasta dosyalarına erişim sağlayan hastane bilgi sisteminin “en az sayıda kişisel veriye erişim ilkesi”ni ihlal ederek gerekli seviyede güvenliği sağlamadığı anlaşıldı.

17-  2.85 Milyon Euro – Iren Mercato –  İtalya

13 Mayıs 2021 tarihinde Garante, elektrik ve gaz dağıtımı alanında faaliyet gösteren Iren Mercato S.p.A’ ya yasal dayanağı olmaksızın müşterilerinin kişisel verilerini işlemesi sebebiyle GDPR’ın 2’ nci, 5(1)’ inci, 6(1)’ inci ve 7(1)’ inci maddeleri gereğince para cezası verdi.

Hukuka uygun bir şekilde rıza alınmaksızın telepazarlama faaliyetleri yürütüldüğünden veri işleme yeterli hukuki dayanaktan yoksundu ve veri sorumlusunun telepazarlama faaliyetlerinde kullandığı kişisel veri üçüncü bir taraf (Nethex Digital Marketing)’tan satın alınmıştı.

18- 2.6 Milyon Euro – Foodinho  – İtalya

10 Haziran 2020 tarihinde, Garante, Glovo’ nun sahip olduğu şirketlerden biri olan Foodinho’ya çalışanların değerlendirilmesi için kullanılan algoritmalarda yapılan çok sayıda gizlilik ihlali sebebiyle 2.6 Milyon Euro  para cezası verdi.

Kurum tarafından yapılan soruşturma neticesinde, Foodinho’ nun çalışanlarını sistemin çalışma şekli hakkında yeterince aydınlatmadığı ve çalışan değerlendirmesi için kullanılan algoritmaların ortaya koyduğu sonuçların tutarlılığı ve doğruluğunu garanti etmediği ortaya çıktı.

İtalyan Veri Koruma Kurumu ayrıca, idari ve teknik önlemler, veri koruma etki değerlendirmeleri ve kayıt tutma gibi, şirketin kişisel verilerin korunmasıyla ilgili daha birçok konuda eksikliğinin olduğunu tespit etti.

19- 2.6 Milyon Euro – National Revenue Agency –  Bulgaristan

28 Ağustos 2019 tarihinde, Bulgaristan Veri Koruma Kurumu, Bulgaristan Ulusal Gelir Dairesi’ ne GDPR ihlali sebebiyle 2.6 Milyon Euro para cezası verdi.

Kurum, yürüttüğü incelemeler sonucunda, Ulusal Gelir Dairesi’ nin gerekli güvenlik önlemlerini almaması nedeniyle verilerin yetkisiz erişime ve yetkisiz ifşaya açılmasının yanı sıra, olaydan etkilenen 6 milyon Bulgar vatandaşının isimleri, adresleri, telefon numaraları, e-posta adresleri gibi pek çok kişisel verinin de yayılmasına neden olduğunu ortaya çıkarttı.

20-  2.52 Milyon Euro – Mercadona – İspanya

26 Temmuz 2021 tarihinde, AEPD, İspanya’nın önde gelen süpermarketlerinden biri ve online alışveriş şirketi olan Mercadona, S.A’ ya hukuka aykırı şekilde yüz tanıma programı kullandığı gerekçesi ile 2.52 Milyon Euro para cezası verdi.

*Her an verilecek yeni bir kararla bu liste tamamen değişebilir.