2022'nin En Yüksek GDPR Para Cezaları

1. Meta - 405 Milyon Euro (İrlanda)

İrlanda Veri Koruma Otoritesi tarafından Meta'nın sahip olduğu sosyal ağ platformu Instagram'a 2022 yılının en yüksek GDPR para cezası verildi. 405 milyon euro tutarındaki ceza, Amazon'a 2021 yılında verilen 746 milyon euro tutarındaki cezanın ardından GDPR kapsamındaki en yüksek ikinci ceza olma özelliğini taşıyor. Verilen ceza ile, Instagram'ın e-posta adresleri ve telefon numaralarını yayınlayarak çocukların mahremiyetini ihlal etmesi nedeniyle Meta'nın cezalandırılması amaçlamaktadır. Platform, yaşları 13 ila 17 arasında değişen çocukların hem e-posta adreslerine hem de telefon numaralarına erişilebilen iş hesaplarını kullanmalarına izin veriyordu. Buna ek olarak, çocukların kullanımına izin verilen iş hesaplarının varsayılan ayarları “gizli” değildi ve bazı durumlarda kamu tarafından görüntülenebiliyordu.

2. Meta - 265 Milyon Euro (İrlanda) 

İrlanda Veri Koruma Otoritesi tarafından Meta’ya 2022 yılının en yüksek ikinci cezası niteliğinde olan 265 milyon euro para cezası verildi. Geçtiğimiz yıl, 533 milyondan fazla kullanıcıya ait verilerin 100’den fazla farklı ülkedeki kişilerin isimleri, Facebook kimlikleri, e-posta adresleri ve telefon numaralarını içerecek şekilde internete yüklendiğinin bildirilmesi üzerine bir soruşturma başlatılmıştı. Şirket savunmasında, soruşturma ile işbirliği içerisinde olduğunu ve gelecekte izinsiz veri toplamayı önlemek için sistemlerinde değişiklikler yaptığını ifade etti.

3. Clearview AI Inc. - 20 Milyon Euro (İtalya)

İtalya Veri Koruma Otoritesi tarafından Amerika merkezli yüz tanıma sistemi şirketi Clearview AI’a 20 milyon euro para cezası verildi. Şirket tarafından internet üzerinden kişilerin selfie’lerinin toplandığı, toplanan selfielerin yaklaşık 10 milyar kişinin yüz verisinin yer aldığı veri tabanına eklenerek kimlik eşleştirme hizmetlerinin geliştirildiği, ilgili hizmetlerin de kolluk kuvvetleri gibi sektörlere satıldığı tespit edildi. İtalya Veri Koruma Otoritesi, verilen para cezasının yanı sıra şirkete İtalya vatandaşlarına ait elinde bulundurduğu tüm verileri silmesini ve biyometrik yüz verisinin bir daha işlenmemesine yönelik talimat verdi.

4. Clearview AI Inc. - 20 Milyon Euro (Yunanistan)

Temmuz 2022’de, Yunanistan Veri Koruma Otoritesi tarafından (“HDPA”) Clearview Al’a GDPR’ın birden fazla hükmünü ihlal ettiği gerekçesiyle 20 milyon euro para cezası verildi. Kar amacı gütmeyen sivil toplum kuruluşu olan Homo Digitalis, Clearview Al’ın işlenen kişisel verilere erişim hakkını ele almadığı iddiasıyla bir ilgili kişi adına şikayette bulundu. Verilen ceza, HDPA’nın faaliyet tarihi boyunca verdiği en yüksek para cezasını temsil etmektedir. HDPA tarafından, Clearview Al’a, İtalya kararında olduğu gibi, Yunanistan’daki ilgili kişilere ilişkin tüm verileri silmesi ve biyometrik yüz verisini bir daha işlememesi emredildi.

5. Clearview AI Inc. - 20 Milyon Euro (Fransa)

Clearview AI, 2022 yılında Fransa Veri Koruma Otoritesi (“CNIL”) tarafından verilen 20 milyon euroluk ceza ile ciddi GDPR ihlallerine bir yenisini daha ekledi. Şirkete, CNIL tarafından verilen Fransa vatandaşlarına ait verileri yasadışı bir şekilde işlemeyi durdurma ve mevcut verileri silme talimatina yanıt vermemesinden bir yıl sonra para cezası verildi. Clearview AI’ın verilen cezalara cevabı her zamanki gibi Amerika Birleşik Devletleri dışındaki düzenleyicilerle işbirliği yapmayı reddetmek şeklinde oldu. Şirket günümüze kadar üzerine atılı tüm iddiaları reddetti ve yabancı düzenleyicilerin kendi işleri üzerinde yargı yetkisine sahip olmadığını iddia etti.

6. Meta - 17 Milyon Euro (İrlanda) 

İrlanda Veri Koruma Otoritesi, 2018 yılında altı aylık bir süre içerisinde Meta hakkında alınan 12 veri ihlali bildirimini inceledikten sonra, GDPR'ın 5(2) ve 24(1) maddelerini ihlal ettiği gerekçesiyle Meta’ya 17 milyon euro para cezası verdi. Otorite, şirketin söz konusu ihlaller açısından AB kullanıcılarının verilerini korumak için pratikte uyguladığı güvenlik önlemlerini kolayca ispat edebilmesini sağlayacak uygun teknik ve idari tedbirlere sahip olmadığını tespit etti. Karar, tüm Avrupa denetim otoritelerinin ortak karar mercii olarak hareket etmesini gerektiren GDPR'ın 60. maddesinin bir veri koruma davasını çözmek için ilk kez kullanılmasıyla dikkat çekti.

7. Google - 10 Milyon Euro (İspanya)

İspanya Veri Koruma Otoritesi (“AEDP”) tarafından, kişisel verileri bağımsız üçüncü taraf araştırma projesine hukuka aykırı olarak ifşa ettiği gerekçesiyle bugüne kadar Google'a verilmiş en yüksek para cezası verildi. 10 milyon euroluk ceza, Avrupa Birliği vatandaşlarının verileri hakkında arama motoru devine silme talebinde bulunduğu ancak Google tarafından ilgili verilerin silinmediği ve Lumen Projesi’ne aktarıldığı tespit edildikten sonra verildi. Ek olarak AEDP, Google'ın ilgili kişilere unutulma haklarını kullanmaları için sağladığı içerik kaldırma formunun kafa karıştırıcı olduğunu tespit etti. Sonuç olarak, silme talebinde bulunan kullanıcılara ait verilerin Google aracılığıyla Lumen Projesine aktarılması konusunda bir seçenek sunulmadığı ve GDPR'ın 17. maddesi uyarınca ilgili kişilerin unutulma hakkının engellendiği anlaşıldı.

8. Clearview AI Inc. - 8 Milyon Euro (Birleşik Krallık) 

2022'nin ilk 10 listesine giren bir diğer tanıdık şirket olan Clearview AI da Birleşik Krallık Veri Koruma Otoritesi ile de ters düştü, ancak verilen ceza İtalya, Yunanistan ve Fransa otoriteleri tarafından uygulanan meblağdan daha düşüktü. Yerel gizlilik yasalarının bir dizi ihlalinin ardından Clearview AI’a, Veri Koruma Otoritesi tarafından yaklaşık 8 milyon euro para cezası verildi ve Birleşik Krallık'ta ikamet edenlerin çevrimiçi olarak kamuya açık kişisel verilerini elde etmeyi ve işlemeyi durdurması emredildi. Bununla birlikte mevcut tüm bilgileri sistemlerinden silmesine yönelik talimat verildi. 

9. Rewe - 8 Milyon Euro (Avusturya)

2022 yılının başında Avusturya Veri Koruma Otoritesi tarafından süpermarket zinciri Rewe'ye GDPR ihlali gerekçesiyle 8 milyon euro para cezası verildi. Verilen ceza, şirketin Avusturya'daki müşteri sadakat programı Jö Bonus Club'daki veri koruma ihlalleriyle ilgiliydi. 2021 yılında aynı program özelinde 2 milyon müşteriye ait verilerin daha fazla kullanımı konusunda şirket tarafından gerektiği gibi bilgilendirilme yapılmadığı iddiasıyla 2 milyon euro para cezası verilmişti. Rewe tarafından son cezaya karşı temyize başvurulacağı açıklandı.

10.  Cosmote Mobile Telecommunications - 6 Milyon Euro (Yunanistan)

31 Ocak 2022 tarihinde, Yunanistan Veri Koruma Otoritesi (“HDPA”) tarafından, Yunanistan'ın en büyük mobil operatörü olan Cosmote Mobile Telecommunications'a, bir veri ihlalinin bildirilmesinin ardından 6 milyon euro para cezası verdi. Saldırganların 2020 yılında Cosmote müşterilerinin kişisel verilerini ele geçirmeyi başarmasının ardından, HDPA olayın gerçekleşme biçimini araştırdı ve uygun veri koruma önlemlerinin uygulanmadığı, ihlalin ciddiyetinin etkilenen bireylere açıklanmadığı ve ana şirket olan Hellenic Telecommunications Organisation'ın (OTE Group) soruşturmaya dahil edilmediği sonucunu tespit etti. Birden fazla GDPR ihlali nedeniyle HDPA, Cosmote için 6 milyon euro ve OTE Grubu için de 3.2 milyon euro para cezası verdi.