I. GDPR KAPSAMINDA İDARİ PARA CEZALARI
GDPR`daki yükümlülüklere uymayan
veri sorumlusu ve/veya veri işleyicilere uygulanacak düzeltici tedbirler ve
idari para cezaları GDPR`ın “idari para cezaları kesilmesine ilişkin genel
kurallar” başlıklı 83. maddesinde ve “cezalar” başlıklı 84. maddesinde düzenlenmektedir.
[1]
Her veri koruma otoritesi, idari
para cezalarını uygulamakla yetkilidir.
83. madde uyarınca idari para cezasının, GDPR`ın 58. maddesi kapsamında
düzenlenen ihtar, kınama, talimat verme, işleme faaliyetine geçici veya kalıcı
sınırlamalar getirme, sertifikasyonu iptal etme, veri akışının durdurulması
gibi düzeltici tedbirlere ek olarak uygulanması veya bu tedbirler hiç
uygulanmaksızın, bu tedbirler yerine verilmesi mümkündür. Bu kapsamda, idari
para cezaları düzeltici tedbirler ile birlikte verilebileceği gibi, tek başına
da verilebilecektir.
İdari para cezaları, veri
sorumlusuna (“data controller”) ve veri sorumlusunun talimatı ile onun adına
veri işleyen veri işleyicilerine (“data processor”) yanı sıra, belgelendirme
kuruluşları ve izleme kurumlarına uygulanabilecektir.
Somut olaya göre ayrı ayrı
belirlenecek cezanın, her durumda etkili, ölçülü ve caydırıcı nitelikte olması
gerekmektedir.
1.1. KADEMELİ İDARİ PARA CEZASI SİSTEMİ
Uygulanacak para cezalarının
miktarı için iki farklı kademe belirlenmiş olup, ihlalin niteliğine bakılarak
hangi ihlalin hangi grupta yer alacağı tespit edilecektir. Böylelikle GDPR
kapsamında bazı ihlallerin diğerlerinden daha ağır olduğunun açıkça kabul
edilmektedir. Bu kapsamda,
a. Tüzük`ün ilk grubunda yer
alan,
●
Veri
sorumlusunun ve işleyicisinin veri koruma, işleme şartları vs. ilişkin
yükümlülüklerine aykırılıklar (GDPR m.8, 11, 25-39, 42 ve 43`a atıfla),
●
Belgelendirme
kuruluşlarının değerlendirme süreçlerini tarafsız ve şeffaf şekilde yürütmemelerinden
kaynaklanan aykırılıklar (GDPR m. 42 ve m.43`e atıfla),
●
İzleme
organlarının taraflarına bildirilen şikâyet ve ihlallerine ilişkin süreçleri
tarafsız ve şeffaf şekilde yürütmemelerinden kaynaklanan aykırılıklar (GDPR m.
41/4`e atıfla) sebebiyle,
En fazla 10.000.000 avro veya
taraflardan birinin teşebbüs olması halinde önceki mali yıla ait, dünya
çapındaki yıllık cirosunun %2`si 10.000,00 avrodan fazla ise bu meblağ kadar
ceza uygulanmasına karar verilecektir.
b. Tüzüğün ikinci grubunda yer
alan,
●
Genel veri
işleme ilkelerine aykırılıklar (GDPR m. 5, 6 ve 9`a atıfla),
●
Açık rıza
alınışındaki aykırılıklar (GDPR m. 7. `ye atıfla),
●
Veri
sahibinin hak ve özgürlüklerine aykırılıklar (GDPR m.12-22`ye atıfla)
●
Üçüncü
ülkeye veya uluslararası kuruluşa veri aktarımı kurallarına uyulmamasından
kaynaklanan aykırılıklar (GDPR m. 44-49`ye atıfla)
●
Üye ülkeler
tarafından kabul edilen veri koruma kanunlarına aykırılıklar (9. Kısım`a
atıfla)
●
Veri koruma
otoritelerinin kararlarının yerine getirilmemesi sebebiyle,
En fazla 20.000.000 avro veya
taraflardan birinin teşebbüs olması halinde önceki mali yıla ait, dünya
çapındaki yıllık cirosunun %4`ü 20.000.000 avrodan fazla ise bu meblağ kadar
ceza uygulanmasına karar verilecektir.
1.2. CEZA TUTARINI BELİRLERKEN DİKKATE ALINACAK
KRİTERLER
Veri koruma otoritesince para
cezası uygulama kararı verilirken öncelikle aşağıdaki hususların
değerlendirilmesi gerektiği düzenlenmiştir. Bu hususlar, sadece idari para
cezası yaptırımını uygulama kararı verilirken değil, aynı zamanda para
cezasının tutarı belirlenirken de dikkate alınacaktır:
●
İlgili
işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve süresinin yanı
sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi,
●
İhlalin kasıtlı olması veya ihmalkarlık sonucu ortaya çıkması,
●
Zararın azaltılması için alınan önlemler,
●
Veri
sorumlusu ve işleyicisinin sorumluluk
derecesi,
●
Veri
sorumlusu ve işleyicisinin geçmişteki
ihlalleri,
●
Veri
otoritesi ile iş birliği derecesi,
●
İhlal edilen
kişisel verinin kategorisi,
●
İhlalin veri
otoritesine bildirimi (veri
sorumlusu ve işleyicisinin ihlali bildirip bildirmediği, bildirdiyse nasıl ve
ne ölçüde bildirdiği vs.)
●
Daha önce
düzenleyici tedbirler uygulandıysa, veri sorumlusu ve işleyicisinin bu düzenleyici tedbirlere uyumu,
●
Madde
40`taki davranış kurallarına uygunluk
veya madde 42 uyarınca belgelendirilme,
●
İhlalden
doğrudan ve dolaylı şekilde maddi menfaat sağlanmadığı veya başka zararlardan
kaçınılmadığı gibi ağırlaştırıcı veya
hafifletici faktörler
Görüleceği gibi, GDPR`da para
cezasını uygularken gözetilecek genel ilkeler ile ölçütler ve üst sınırlar düzenlenmekle
birlikte, ceza tutarının hesaplanması konusunda açık bir yol öngörülmediği
anlaşılmaktadır. Bu kapsamda,
Avrupa`daki ulusal veri koruma otoriteleri de GDPR`da belirlenen para
cezalarının uygulanmasına ilişkin ek kriterler getirmekte ve/veya yöntemler
geliştirmektedir. İdari para cezalarının hesaplanmasına yönelik bu kurum
politikaları şeffaflık, eşitlik ve öngörülebilirliğin sağlanmasına katkı
sağlaması sebebiyle önemli görülmektedir.
II. AVRUPA`DAKİ VERİ KORUMA OTORİTERLERİNİN UYGULAMALARI
Veri koruma
otoritelerinin GDPR`daki üst sınırlar, veri kategorileri vs. ilişkin
düzenlemelere bağlı kalmakla birlikte, bilhassa ihlalin niteliği ve yıllık ciro
tutarını temel alarak yeni alt-sınıflandırmalar yaptıkları ve alt-üst sınırlar
belirledikleri görülmektedir.
2019 yılında,
Hollanda Veri Koruma Otoritesi (AP) idari para cezasının belirlenmesine ilişkin
politika geliştirilmiştir. AP`nin, aykırılık durumunda Hollanda Krallığı Resmî
Gazetesi`nde yayımlanan 14.09.2019 tarihli ve 14586 sayılı İdari Para Cezasının
Belirlenmesine İlişkin Politikaları`nı dikkate alarak karar vermektedir. [2] Her kararında da
verilen para cezasının tutarının açıklandığı ve bu politika metnine atıf ile
gerekçelendirildiği bir kısım bulunduğu görülmektedir.
Bu politikada,
ihlaller niteliklerine bakılarak dört kategoriye ayrılmış olup, her kategori
için bir para cezası aralığı belirlenmiştir. Daha ağır kabul edilen ihlaller
için, alt ve üst sınırları yüksek olan bir para ceza aralığı öngörülmüştür.
Politika metninin 6. maddesi uyarınca bir para cezası hesaplanırken, Otorite
tarafından önce temel para cezası tespit edilecek ve sonra 7. maddede
belirlenen faktörlere bağlı olarak ceza miktarını ihlalin yer aldığı para
cezası kategorisinin aralığının üst sınırına kadar artırabilecek veya alt
sınırına kadar azaltabilecektir.
Bu faktörler GDPR
m. 83`te belirlenen ve bu yazının 1.2. sayılı başlığında açıklanan kriterler
ile uyumlu olup, bu kapsamda AP`nin de kişisel verinin kategorisi, sayısı,
ihlalin süresi, ihlâlden etkilenen veri sahibi sayısı, bildirim yükümlülüğüne
uyulup uyulmadığı gibi kriterleri cezaların arttırılmayacağına veya
azaltılmayacağına karar verirken göz önüne aldığı anlaşılmaktadır. [3]
İngiliz Veri Koruma Otoritesi (ICO) 2020 yılında hazırladığı taslak rehberde (“Statutory Guidance on Our Regulatory Guidance”), idari para cezalarının İngiliz Veri Koruma Kanunu`nun (DPA 2018) 155.-157. Bölümleri kapsamında hesaplanmasını öngörmüş ve dokuz adımlı bir mekanizma oluşturmuştur. [4] Buna göre ilk üç aşamada ihlalin niteliği/ ciddiyeti belirlenecek, ihlali gerçekleştiren veri sorumlusu veya işleyicisinin kusuru değerlendirilecek ve ciro tespiti yapılacaktır. Dördüncü aşamada, ceza için bir başlangıç noktası hesaplanacaktır. Buna göre, önceki aşamalarda tespit edilen ihlalin niteliğine göre bu yazının 2.1. kısmında açıklandığı şekilde üst sınır belirlenecek, hangi üst sınırın uygulanacağı (standart üst sınır, yüksek üst sınır), ihlalin düzeyi (az -orta- yüksek- çok yüksek) ve kusur derecesine (düşük/yok, ihmali, kasıtlı) bakılarak belirlenecek yüzdeler, üçüncü aşamada tespit edilen ciro tutarı ile çarpılarak ceza için bir başlangıç tutarı bulunacaktır
Beşinci aşamada
ağırlaştırıcı ve hafifletici sebepler dikkate alınacak, altıncı aşamada veri
sorumlusu veya işleyicisi gerçek veya tüzel kişinin mali durumu
değerlendirilecektir. Bu kapsamda kişi
ya da kurumun cezayı ödeyebilmesi olasılığının ve bunun aşırı bir mali
sıkıntıya yol açıp açmayacağının dikkate alınacağı ve gerekirse finans veya
muhasebe uzmanından görüş alınacağını belirtilmiştir. Yedinci aşamada, cezanın
cezayı ödeyecek kişi veya kurumun ötesinde daha geniş bir çerçevede, ekonomik
büyüme ve ekonomik sektör üzerindeki ekonomik etkisi değerlendirilecektir.
Sekizinci aşamada DPA`nın bölüm 153(3) ve GDPR madde 83(1) uyarınca etkili,
ölçülü ve caydırıcı nitelikte olup olmadığı değerlendirilecek ve buna göre
tutarda ayarlama yapılabilecektir. Dokuzuncu aşamada, erken ödeme yapılıp
yapılmadığı hususu değerlendirilecektir. Buna göre para cezasının tamamı
cezanın tebliğinden itibaren 28 gün içinde yargı yoluna başvurmaksızın ödeme
yapar ise cezada %20 oranında indirim yapılacaktır.
Almanya Federal Cumhuriyeti`ndeki 16 eyaletin veri koruma otoritelerinin çatı organı olan Datenschutzkonferenz (DSK) 2019 yılında şirketlere uygulanacak para cezalarının hesaplanması için şirketlerin büyüklüklerine göre gruplara ayrıldıkları 5 aşamalı bir model önermiştir. [5] İlk aşamada, her şirketin bir önceki yıla ait yıllık cirosuna bakılarak dört ayrı kategori tanımlanmıştır. Buna göre yıllık cirosu 2 milyon avroya kadar olanlar mikro işletmeler (A grubu), 2 ila 10 milyon avro arasında olanlar küçük ölçekli şirketler (B grubu), 10 ila 50 milyon avro arasında olanlar orta ölçekli şirketler (C grubu), 50 milyon üzerin olanlar büyük ölçekli şirketler (D Grubu). Her grup kendi içinde (sayısı ilk iki grupta 3, son iki grupta 7 olmak üzere) alt gruplara ayrılmaktadır. İkinci aşamada, her alt grubun yıllık cirosunun ortalaması bulunur ve üçüncü aşamada bu ortalama temel ekonomik değerin (günlük oran) belirlenmesi için 360`a bölünecektir. Bu günlük oran, cezanın hesaplanması için başlangıç noktasını oluşturur. Bu günlük oran, ihlalin düzeyi (hafif, orta, ağır, çok ağır) ve ihlalin türü (burada teknik ihlal ve maddi ihlal ayrımı yapılmış olup, ilki GDPR`da belirlenen ilk kademe ihlallere, ikincisi ise ikinci kademe ihlallere karşılık gelmektedir.) dikkate alınarak belirlenecek katsayı ile çarpılır.
Günlük oranın
katsayı ile çarpılması ile bulunacak tutar, daha sonra GDPR`da belirlenen genel
ilkeler (etkililik, ölçülülük ve caydırıcılık) ve bu yazının 1.2. kısmında
özetlenen ele alınan kriterlerin değerlendirilmesi sonucunda
değiştirilebilecektir.
III. SONUÇ
Avrupa`daki ulusal veri koruma
otoriteleri, veri ihlaline ilişkin uygulanacak idari para cezalarını Avrupa
Birliği Genel Veri Koruma Tüzüğü (“GDPR” veya “GVKT”) uyarınca
belirlemektedirler.
GDPR`da para
cezasını uygularken gözetilecek genel ilkeler ve üst sınırlar düzenlenmekle
birlikte, ceza tutarının hesaplanması başta olmak üzere bazı hususlarının Tüzük
kapsamında düzenlenmediği ve veri koruma otoritelerinin uygulamaları ile
şekillendiği görülmektedir.
Avrupa Veri Koruma Otoriteleri
farklı ihlallerden dolayı uygulanan para cezalarının tutarlı olmasını ve şeffaf
bir süreç sonucunda belirlenmesini amaçlamakla birlikte, uygulamaları
birbirinden farklılık göstermektedir. Avrupa
Veri Koruma Kurulu, bu farklı uygulamaları uyumlaştırmak amacına yönelik, öneri
niteliğinde 12.05.2022 tarihli idari para cezalarının hesaplanmasına yönelik
rehberi yayımlamıştır.
Bu yazı kapsamında politikaları
incelenen veri otoritelerinden ICO ve DSK`nın, para cezalarının hesaplanmasına
bir standardizasyon getirmeye çalıştıkları ve bu sebeple para cezası için
başlangıç tutarının belirlendiği yöntemler geliştirdikleri görülmekle birlikte,
aynı zamanda her ihlalin somut özelliklerini dikkate alınmasını
istemektedirler. Bu kapsamda hem ICO hem de DSK tarafından GDPR kapsamında
belirlenen belirli ölçütler doğrultusunda bu başlangıç tutarın uyarlanmasını
öngörülmüş olup, standardizasyon ile somut durum incelemesi arasında denge
bulmak amaçlanmıştır.
Av. Erse Kahraman
Kaynakça:
2. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586_0.pdf
3.
Bu
kapsamda verilen karar örnekleri için: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_boete_booking.pdf, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/20210512_boetebesluit_ap_locatefamily.pdf, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boete_tiktok.pdf
4. https://ico.org.uk/media/about-the-ico/consultations/2618333/ico-draft-statutory-guidance.pdf
5. https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf,
https://www.srd-rechtsanwaelte.de/blog/bussgeldzumessung-dsk-konzept/
