Cemre Apaydın

Attorney

The New German Fining Policy under GDPR and differences from The Dutch Fining Policy

The Fining Policy was[1] published on 14 October 2019 by the German Data Protection Authority (Datenschutzbehörde). The authority agreed with this policy a new way of calculating administrative fines imposed on data breaches in accordance with GDPR[2].

The penalties to be paid when data breaches occur are determined under this policy. The enterprise making the data breach is obliged to pay the fine determined according to the annual turnover and the quality of the data breach.

First of all, it is necessary to examine the Dutch Fining Policy, which was published on 14 March 2019 as the first example of the fining policy for data breaches; The Dutch Data Protection Authority (the Dutch Authority) has established a four-stage fine bandwidths model for data breaches. The Dutch Authority foresees a basic fine for each data breach, but within of the quality, specific characteristics and other circumstances of the breach, it may increase or decrease this basic fine within the bandwidths. The Dutch Authority may impose higher penalties than the band intervals if it considers it “not appropriate” for the specified penalty. In this case, it is regulated in the policy that the punishment imposed under GDPR[3] can authorize each individual case to be “effective, proportionate and dissuasive.”

Similar to the Dutch Authority, the German Data Protection Authority categorized administrative fines under the GDPR in its policy. By issuing this policy, the German Authority has developed a company-oriented fines system different from the Dutch Authority, ensuring transparency in penalties and penalties based on the value of each company.

Unlike the Dutch Authority, the German Authority has developed a five-step system of fines for GDPR violations. With these five-step method, it is aimed to impose fines on a case-by-case basis and transparency.

The german Policy has developed a system that is not included in the Dutch Policy, companies are classified as; micro, small, medium-sized enterprises (SMEs) or large-scale companies.[4]

In accordance with the policy, companies are included in one of the four groups as the first step and secondly, the average annual turnover is determined. In the third step, the German Authority determines the “daily rate”  by dividing 360 days the calculated annual turnover. In the fourth step, the infringement of the quality of the case and the damage caused by the data infringement under GDPR; minor, avarage, severe and very severe infringements. The authority creates a “fine corridor” by calculating the severity of the infrigment with the daily rate determined in the previous step. In the last step, by assessing the quality of the data breach offense and the data subject affected and the consequences within the scope of the GDPR, the Authority may change the fine according to the nature, scope and purpose of the illegal processing, the number of data subjects involved, the degree of data subject to the transaction, and the degree to which other subjects are exposed.[5]

Although there are similarities in the Dutch and German fining policies, the main differences are great. As can be seen, the focus point of the Dutch Monetary Criminal Policy is the type of data breach and the nature of the case. Accordingly, the band spacing is drawn up or down completely in line with the nature of the violation. This policy primarily aims to impose a fine in accordance with the substantive elements. It has not introduced any regulations regarding companies that have committed data breaches. In addition, the German fine policy is also focused on companies that perform data breach cases. It is based not only on the nature of the data breach but also on the size of the Company that has committed the breach.

With the new system introduced by the German Fining Policy, the amount of fines for GDPR infrigments increases. The company classifications defined in the policy are based solely on the turnover of the companies, and it is seen that there is no classification regarding the activity fields of the companies. Basically, the fines calculated on the annual turnover of the companies have great risks for the companies. With the policy, it is planned that the fines to be given to the companies in each case will be transparent, proportionate and dissuasive.

 

[1] https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

[2] General Data Protection Regulation

[3] Article 83, GDPR

[4] Which is imported by Recital 150, GDPR

[5] https://www.dataprotectionreport.com/2019/10/german-data-protection-authorities-publishes-a-new-gdpr-model-for-fines/


Alman Para Ceza Politikası’nın GDPR kapsamında Getirdiği Yeni Model ve Hollanda Para Ceza Politikasından Farkı

Cemre Apaydın

Avukat

Alman Para Ceza Politikası’nın GDPR kapsamında Getirdiği Yeni Model ve Hollanda Para Ceza Politikasından Farkı

Alman Veri Koruma Otoritesi (Datenschutzbehörde) tarafından 14 Ekim 2019 tarihinde Para Ceza Politikası[1]yayımlanmıştır. Otorite, işbu politika ile GDPR[2] uyarınca veri ihlallerine kesilen idari para cezalarının hesaplanmasında yeni bir yol üzerinde anlaşmaya varmıştır.

Veri ihlalleri gerçekleştiği zaman ödenmesi gereken cezalar işbu politika kapsamında belirlenmektedir. Veri ihlali yapan işletme yıllık cirosuna göre ve gerçekleşen veri ihlalinin mahiyetine göre belirlenen cezayı ödemekle mükelleftir.

Öncelikle veri ihlalleri için para ceza politikasının ilk örneği olarak 14 Mart 2019 tarihinde yayınlanan Hollanda Para Ceza Politikası’nı incelemek gerekirse; Hollanda Veri Koruma Otoritesi (Hollanda Otoritesi) veri ihlallerine uygulayacağı para cezaları için dört aşamalı bir para cezası bant aralığı modeli oluşturmuştur. Hollanda Otoritesi, her veri ihlali için temel para cezası öngörmüş olmakla birlikte ihlali gerçekleşen vakanın niteliği, spesifik özellikleri ve sair durumları ışığında işbu temel para cezasını belirlediği bant aralığında artırabilmekte veya azaltabilmektedir. Hollanda Otoritesi belirlenen ceza için “uygun değil” değerlendirmesi yaptığı takdirde bant aralıklarından daha yüksek cezalar verebilmektedir. İşbu durumda GDPR kapsamında[3] verilen cezanın “etkili, orantılı ve caydırıcı” olması için her denetim otoritesine yetki verebileceği politikada düzenlenmektedir.

Hollanda Otoritesi’ne benzer olarak Alman Veri Koruma Otoritesi de yayınladığı politikada GDPR kapsamında idari para cezalarını kategorize etmiştir. Alman Otoritesi işbu politikayı yayınlayarak verilen cezalarda şeffaflık olmasını ve her şirketin değerine göre ceza verilmesini sağlayarak Hollanda Otoritesinden farklı ve şirket odaklı bir ceza sistemi geliştirmiştir.

Alman Otoritesi, Hollanda Otoritesi’nden farklı olarak GDPR ihlalleri için uygulayacağı cezaları beş adımlı bir sistem olarak geliştirmiştir. Belirtilen bu beş adım yöntemi ile olay bazında ve şeffaflık doğrultusunda cezaların verilmesi hedeflenmiştir.

Hollanda Politikası’nda yer almayan bir sistem geliştiren Alman Para Ceza Politikası kapsamında şirketler; mikro, küçük, orta ölçekli işletmeler (Kobiler) veya Büyük ölçekli Şirketler kategorilerinden birine dâhil edilmektedir.[4]

Politika uyarınca şirketler ilk adım olarak dört gruptan birine dâhil edilir, ikinci olarak ortalama yıllık ciroları belirlenmektedir. Üçüncü adımda Alman Otoritesi, hesaplanan yıllık ciroyu 360 güne bölerek “günlük oranı” belirlemektedir. Dördüncü adımda GDPR kapsamında veri ihlali gerçekleşen vakanın niteliği ve verdiği zarar kapsamında ihlali; hafif, orta, şiddetli ve çok şiddetli ihlal olarak sınıflandırmıştır. Otorite bir önceki adımda belirlenen günlük oran ile ihlalin şiddetini hesaplayarak bir “para cezası koridoru” oluşturmaktadır. Son adımda, veri ihlal suçunun mahiyeti ve bu kapsamda etkilenen veri konusu ve sonuçlar GDPR kapsamında değerlendirerek Otorite, para cezasını yasadışı işlemenin niteliği, kapsamı ve amacı, işleme katılan veri konusu sayısı, veri konularının maruz kaldığı zararın derecesi ve sair durumlara göre değiştirebilmektedir.[5]

Hollanda ve Alman Para Ceza Politikalarında benzerlikler olsa da temel farklılıklar büyüktür. Görüldüğü üzere Hollanda Para Ceza Politikası’nın odak noktası ortaya çıkan veri ihlalinin tipi ve vakanın niteliği şeklindedir. Buna göre düzenlemiş olduğu bant aralığı tamamiyle ihlalin niteliği doğrultusunda yukarı veya aşağıya çekilmektedir. İşbu politika öncelikli olarak esasa ilişkin unsurlar uyarınca bir para cezası vermeyi hedeflemiştir. Veri ihlalini gerçekleştiren Şirketlerle ilgili herhangi bir düzenleme getirmemiştir. Bunun yanında Alman Para Cezası farklı olarak veri ihlal vakasını gerçekleştiren Şirketlere de odaklanmıştır. Sadece veri ihlalinin niteliğine değil, ihlali gerçekleştiren Şirketin büyüklüğüne de bakarak bu doğrultuda bir cezayı esas almaktadır.

Alman Para Ceza Politikası ile getirilen yeni sistem ile GDPR ihlalleri için verilecek cezaların miktarları artmaktadır. Politikada belirlenen şirket sınıflandırmaları sadece şirketlerin cirolarını temel almaktadır, şirketlerin faaliyet konuları yönünde her hangi bir sınıflandırmanın mevcut olmadığı görülmektedir. Temel olarak şirketlerin yıllık ciroları üzerinden hesaplanan cezalar şirketler için büyük riskler barındırmaktadır. Politika ile her vaka özelinde şirketlere verilecek cezaların şeffaf, orantılı ve caydırıcı olması planlanmaktadır.

[1] https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

[2] General Data Protection Regulation

[3] GDPR 83. Madde

[4] İşbu şirketlerin büyüklüklerine göre kategorize edilmeleri GDPR’ın 150.resitali kapsamında yapılmıştır.

[5] https://www.dataprotectionreport.com/2019/10/german-data-protection-authorities-publishes-a-new-gdpr-model-for-fines/