Cemre Apaydın
Avukat
Alman Para Ceza Politikası’nın GDPR kapsamında Getirdiği Yeni Model ve Hollanda Para Ceza Politikasından Farkı
Alman Veri Koruma Otoritesi (Datenschutzbehörde) tarafından 14 Ekim 2019 tarihinde Para Ceza Politikası[1]yayımlanmıştır. Otorite, işbu politika ile GDPR[2] uyarınca veri ihlallerine kesilen idari para cezalarının hesaplanmasında yeni bir yol üzerinde anlaşmaya varmıştır.
Veri ihlalleri gerçekleştiği zaman ödenmesi gereken cezalar işbu politika kapsamında belirlenmektedir. Veri ihlali yapan işletme yıllık cirosuna göre ve gerçekleşen veri ihlalinin mahiyetine göre belirlenen cezayı ödemekle mükelleftir.
Öncelikle veri ihlalleri için para ceza politikasının ilk örneği olarak 14 Mart 2019 tarihinde yayınlanan Hollanda Para Ceza Politikası’nı incelemek gerekirse; Hollanda Veri Koruma Otoritesi (Hollanda Otoritesi) veri ihlallerine uygulayacağı para cezaları için dört aşamalı bir para cezası bant aralığı modeli oluşturmuştur. Hollanda Otoritesi, her veri ihlali için temel para cezası öngörmüş olmakla birlikte ihlali gerçekleşen vakanın niteliği, spesifik özellikleri ve sair durumları ışığında işbu temel para cezasını belirlediği bant aralığında artırabilmekte veya azaltabilmektedir. Hollanda Otoritesi belirlenen ceza için “uygun değil” değerlendirmesi yaptığı takdirde bant aralıklarından daha yüksek cezalar verebilmektedir. İşbu durumda GDPR kapsamında[3] verilen cezanın “etkili, orantılı ve caydırıcı” olması için her denetim otoritesine yetki verebileceği politikada düzenlenmektedir.
Hollanda Otoritesi’ne benzer olarak Alman Veri Koruma Otoritesi de yayınladığı politikada GDPR kapsamında idari para cezalarını kategorize etmiştir. Alman Otoritesi işbu politikayı yayınlayarak verilen cezalarda şeffaflık olmasını ve her şirketin değerine göre ceza verilmesini sağlayarak Hollanda Otoritesinden farklı ve şirket odaklı bir ceza sistemi geliştirmiştir.
Alman Otoritesi, Hollanda Otoritesi’nden farklı olarak GDPR ihlalleri için uygulayacağı cezaları beş adımlı bir sistem olarak geliştirmiştir. Belirtilen bu beş adım yöntemi ile olay bazında ve şeffaflık doğrultusunda cezaların verilmesi hedeflenmiştir.
Hollanda Politikası’nda yer almayan bir sistem geliştiren Alman Para Ceza Politikası kapsamında şirketler; mikro, küçük, orta ölçekli işletmeler (Kobiler) veya Büyük ölçekli Şirketler kategorilerinden birine dâhil edilmektedir.[4]
Politika uyarınca şirketler ilk adım olarak dört gruptan birine dâhil edilir, ikinci olarak ortalama yıllık ciroları belirlenmektedir. Üçüncü adımda Alman Otoritesi, hesaplanan yıllık ciroyu 360 güne bölerek “günlük oranı” belirlemektedir. Dördüncü adımda GDPR kapsamında veri ihlali gerçekleşen vakanın niteliği ve verdiği zarar kapsamında ihlali; hafif, orta, şiddetli ve çok şiddetli ihlal olarak sınıflandırmıştır. Otorite bir önceki adımda belirlenen günlük oran ile ihlalin şiddetini hesaplayarak bir “para cezası koridoru” oluşturmaktadır. Son adımda, veri ihlal suçunun mahiyeti ve bu kapsamda etkilenen veri konusu ve sonuçlar GDPR kapsamında değerlendirerek Otorite, para cezasını yasadışı işlemenin niteliği, kapsamı ve amacı, işleme katılan veri konusu sayısı, veri konularının maruz kaldığı zararın derecesi ve sair durumlara göre değiştirebilmektedir.[5]
Hollanda ve Alman Para Ceza Politikalarında benzerlikler olsa da temel farklılıklar büyüktür. Görüldüğü üzere Hollanda Para Ceza Politikası’nın odak noktası ortaya çıkan veri ihlalinin tipi ve vakanın niteliği şeklindedir. Buna göre düzenlemiş olduğu bant aralığı tamamiyle ihlalin niteliği doğrultusunda yukarı veya aşağıya çekilmektedir. İşbu politika öncelikli olarak esasa ilişkin unsurlar uyarınca bir para cezası vermeyi hedeflemiştir. Veri ihlalini gerçekleştiren Şirketlerle ilgili herhangi bir düzenleme getirmemiştir. Bunun yanında Alman Para Cezası farklı olarak veri ihlal vakasını gerçekleştiren Şirketlere de odaklanmıştır. Sadece veri ihlalinin niteliğine değil, ihlali gerçekleştiren Şirketin büyüklüğüne de bakarak bu doğrultuda bir cezayı esas almaktadır.
Alman Para Ceza Politikası ile getirilen yeni sistem ile GDPR ihlalleri için verilecek cezaların miktarları artmaktadır. Politikada belirlenen şirket sınıflandırmaları sadece şirketlerin cirolarını temel almaktadır, şirketlerin faaliyet konuları yönünde her hangi bir sınıflandırmanın mevcut olmadığı görülmektedir. Temel olarak şirketlerin yıllık ciroları üzerinden hesaplanan cezalar şirketler için büyük riskler barındırmaktadır. Politika ile her vaka özelinde şirketlere verilecek cezaların şeffaf, orantılı ve caydırıcı olması planlanmaktadır.
[1] https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
[2] General Data Protection Regulation
[3] GDPR 83. Madde
[4] İşbu şirketlerin büyüklüklerine göre kategorize edilmeleri GDPR’ın 150.resitali kapsamında yapılmıştır.
[5] https://www.dataprotectionreport.com/2019/10/german-data-protection-authorities-publishes-a-new-gdpr-model-for-fines/
