Veri koruma düzenlemelerinin ihlali, gelecekte şirketlere geçmişte olduğundan daha pahalıya mal olabilir. Tim Wybitul, yeni AB ince modelinin arka planını, eylem çerçevesini ve olası sonuçlarını açıklıyor.
Avrupa Birliği’nin veri koruma yetkilileri, Birlik genelinde AB Genel Veri Koruma Yönetmeliği (GDPR) kapsamında para cezalarının hesaplanmasını standart hale getirmek için katı yönergeler benimsedi. Bu, GDPR’in ihlal edilmesi durumunda şirketlerin yeni risklerle karşı karşıya olduğu anlamına geliyor.
Avrupa Veri Koruma Kurulu (EDPB), AB veri koruma makamlarının ortak oylama organı. 12 Mayıs 2022’de EDPB, özellikle büyük ve yüksek gelirli şirketler için önemli risklere yol açan iyi bir modele karar verdi. Özellikle onlar için, hesaplama modeli, veri koruma ihlalleri için yüksek cezalarla sonuçlanabilir. Konsept, AB ve AEA’da tanımlanan GDPR ihlalleri için cezaları standart hale getirmeyi amaçlamaktadır. Ulusal denetim makamları için bağlayıcı olma özelliği taşıyor.
Gelecekte, veri koruma yetkilileri, GDPR’in bir veya daha fazla ihlali için kademeli olarak cezalar belirlemek zorunda kalacak. İlk olarak, makam ilgili yasa dışı veri işlemeyi toplar ve ceza gerektiren bir veya daha fazla bireysel ihlal olup olmadığını kontrol eder. Aşağıdaki adımlar, yaptırım uygulanacak her bir ihlalle ilgilidir.
Ceza çerçevesini belirledikten sonra yetkili makam, ihlalin ciddiyetini bireysel davanın koşullarına göre değerlendirmek için ilgili veri işlemenin koşullarını kullanır. Daha sonra, grubun veya şirketin cirosunu dikkate alarak, daha sonraki hesaplamalar için temel olarak etkin, orantılı ve caydırıcı bir miktar belirler.
DPA daha sonra kontrolörün/işleyicinin geçmiş veya mevcut davranışıyla ilgili diğer ağırlaştırıcı ve hafifletici koşulları değerlendirir. Buna göre, cezada bir artış veya azalma düşünülebilir. Ancak, bu aşamada yetkililerin önceden belirlenmiş başlangıç miktarını azaltmak yerine uygulamada artıracağına dair kanıtlar vardır.
Son olarak makam, bu şekilde belirlenen nihai miktarın etkili, orantılı ve caydırıcı olup olmadığını kontrol eder. Para cezası da bu adımda buna göre artırılabilir veya azaltılabilir, ancak ilgili yasal maksimum 10 veya 20 milyon Euro’yu veya bir önceki yılın cirosunun yüzde 2 veya 4’ünü aşmadan karara bağlanır.
Gelecekte, EDPB’nin spesifikasyonlarının, özellikle büyük ve yüksek gelirli şirketler için bulunan ihlaller adına daha yüksek para cezalarına yol açması muhtemel.
Şimdiye kadar nispeten düşük para cezaları uygulayan üye devletlerde bile, gelecekte daha katı yaptırımların uygulanması mümkün. Geçmişte, bazı üye devletlerin kısıtlayıcı para cezası uygulamalarına yönelik AB çapında eleştiriler arttı. Bazı Alman federal eyaletleri de veri koruma ihlalleri için para cezası verme konusunda nispeten isteksizdi. Burada, yeni ceza konseptinin uygulanması muhtemelen daha yüksek cezalara yol açacak.
AB için gelecekte para cezalarının uygulanmasında daha yeknesak bir uygulama beklenebilir. Bazı Üye Devletler şimdiye kadar oldukça düşük cezalar uyguladı. Diğerleri, cezaların farklı şekilde ele alınmasının nedenleri açık olmadan şirketlere onlarca veya yüz milyonlarca para cezası uyguladı. Ancak, şimdi EDPB tarafından sunulan hesaplama modelinden sonra bile, Avrupa denetim makamlarının takdir yetkisi vardır ve ilgili veri ihlalini belirli bir bireysel temelde değerlendirmeleri gerekiyor.
Yeni EDSA hassas modeli, ulusal düzeyde önceki hassas kavramların yerini alıyor. Gelecekte, tüm veri koruma yetkilileri, GDPR cezaları uygularken yeni AB konseptini uygulamak zorunda kalacak.
Özellikle hangi şirketler etkileniyor?
Prensip olarak, satışları yüksek olan şirket ve kuruluşlar ciddi ceza risklerine maruz kalmaktadır. Onlar için, GDPR’in ihlallerine ilişkin sorumluluk açısından hala bazı ciddi riskler bulunmaktadır. EDPB, ceza konseptinde doğrudan kurumsal sorumluluk da üstlenir. Bu nedenle şirket, bir şirketin yöneticisi tarafından ulusal kanunların gerektirdiği herhangi bir görev ihlaline bakılmaksızın, temsilcilerinin tüm eylemlerinden veya ihmallerinden sorumludur. Bu soru şu anda ABAD’da bekleyen bir sevk prosedürünün de konusudur (Az. C-807/21).
EDPB yönergeleri halihazırda bağlayıcı olmakla birlikte, aynı zamanda bir halkla istişare sürecinin parçasıdır. Yorumlar hala 27 Haziran 2022’ye kadar gönderilebilir. Bu nedenle ayarlamalar mümkündür. Ancak, halkla yapılan istişarelerin ardından EDPB, şimdiye kadar sunduğu kılavuz ilkeleri önemli ölçüde değiştirmedi.
Özellikle yüksek para cezaları söz konusu olduğunda, verilen para cezalarının yargısal denetimi yararlı olabilir. GDPR’nin 83. Maddesine göre yaptırımların uygulanmasına ilişkin birçok yasal soru hala büyük ölçüde çözülmemiştir. Mevcut para cezası yargılamaları, uygulamada yetkililerin ayrıca bir mahkemenin daha sonra itiraz edebileceği pozisyonlar aldığını veya resmi hatalar yaptığını göstermektedir. Olası bir para cezası vermek yerine, yetkililerle dostane ve karşılıklı olarak kabul edilebilir bir çözüm bulmak da çoğu zaman mümkün.