Mazars, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ihlalleri ile ilgili olarak, Avrupa’da, finans sektörünün diğer sektörlerden önemli ölçüde fazla sayıda -11 adet- GDPR para cezası aldığını gösteren bir analiz yayımladı. Bu para cezaların çoğunluğu, kişisel verilerin işlenmesiyle ilgili ihlaller nedeniyle uygulandı.
Yayımlanan analiz, denetleme makamlarına sahip yirmi sekiz Avrupa ülkesi içerisinde sekiz ülkenin henüz ceza uygulamadığını gösteriyor. Bu ülkeler arasında Hırvatistan, Estonya, Finlandiya, İrlanda, Lüksemburg, İsviçre, Slovakya ve Slovenya da bulunuyor. Bununla birlikte, İrlanda’da devam eden soruşturmalarla ilgili para cezalarının yakın gelecekte uygulanması bekleniyor.
2018 yılının mayıs ayında GDPR’ın yürürlüğe girmesinden bu yana, denetleme makamlarına sahip 20 Avrupa ülkesinde toplam 68 GDPR para cezası kesilmiş. Çek Cumhuriyeti, Almanya ve Macaristan, her biri 9 olmak üzere, en çok para cezalarını kesen ülkeler. Yapılan analizler, ceza veren ülkelerin %40’ının sadece bir para cezası uyguladığını gösterdi. Bu ülkeler Belçika, Yunanistan, İtalya, Litvanya, Malta, Hollanda, Portekiz ve İsveç.
Finans Sektörüne Uygulananan GDPR Para Cezaları
Finans sektörüne uygulanan 11 adet para cezası, diğer sektörlere kıyasla çok fazla. Bunu profesyonel hizmetler yedi, kamu sektörü beş; sağlık, konaklama, teknoloji ve telekomünikasyon ise dörder GDPR para cezasıyla izledi. İlginç bir şekilde, dört ceza vatandaşlara, büyük bir ceza grubu (17) ise ayrıntıları kamuya açık olmadığı için herhangi bir sektör kategorisine dahil edilemeyenlere uygulanmıştır.
Mazars analizi, cezaların çoğunun (41), 5. maddede belirtilen “Kişisel Verilerin İşlenmesine İlişkin İlkeler” ile ilgili ihlaller nedeniyle, bunu takiben 23 para cezasının da 6. maddede belirtilen “İşleme Faaliyetinin Hukuka Uygunluğu” hükmünün ihlaline ilişkin uygulandığını gösteriyor. Önemle belirtilmelidir ki, 33. madde “Bir Kişisel Veri İhlalinin Denetim Makamına Bildirilmesi” ve 34. madde “Bir Kişisel Veri İhlalinin Veri Sahibine İletilmesi” ihlalleri için de üç para cezası kesilmiş. Bu durum bir kuruluşun güvenlik ihlali durumunda kişisel verileri korumak için güçlü güvenlik kontrollerini uygulaması halinde ceza almasının önüne geçebileceğini, ancak bildirim yükümlülüklerine ilişkin protokolü uygulayamadıkları taktirde hala para cezalarından sorumlu olabileceklerini gösteriyor.
Her madde için uygulanan ortalama para cezalarının miktarı dikkate değer. En fazla kesilen para cezası (41), 5. madde “Kişisel Verilerin İşlenmesine İlişkin İlkeler” için belirtilmiş olsa da verilen ortalama para cezası 34 milyon Euro olarak kayıtlara geçti. Bu durum, 32. madde “İşleme Güvenliği” ihlalleri sebebiyle verilen ortalama 21 milyon avroluk para cezası verilen 15 şirket ile çelişiyor. 14. madde “Kişisel Verilerin Veri Sahibinden Alınmadığı Hallerde Sağlanacak Bilgiler” ile ilgili ihlallere ilişkin olarak toplamda 3 kuruluş ise ortalama 4.2 milyon Euro tutarında para cezası aldı. Analiz ayrıca, 6. madde “İşleme faaliyetinin hukuka uygunluğu” ihlali sebebiyle 23 kuruluşun ortalama 55 milyon Euro para cezasına çarptırıldığını gösterdi. Son olarak, madde 13. “Veri Sahibinden Kişisel Verilerin Toplandığı Hallerde Sağlanacak Bilgiler” maddesinin ihlaline ilişkin olarak yedi kuruluşa 1.8 milyon Euro tutarında bir ortalama para cezası uygulandı.
Mazars Ireland ortağı Liam McKenna analiz ile ilgili; “Para cezalarının yönlendirildiği endüstrileri incelerken anladığımız, hiçbir kuruluşun denetim otoritelerinin erişiminden muaf olmadığı, hatta vatandaşların bile uyumsuzluk nedeniyle para cezasına maruz kaldıklarıdır. Analizimiz, kişisel verilerin işlenmesi ile ilgili sorunların en yaygın sorun olduğunu ancak mevzuatın sadece bir yıldan biraz daha uzun bir süre önce düzenlendiği dikkate alındığında, kuruluşların sorumluluklarının farkına vardıkça bu durumun değişebileceğini gösteriyor. İrlanda Veri Koruma Komiserliğinin bundan sonra uygulayacağı cezaları izlemek ve bu verilere göre etkilenen sektörleri, en yaygın cezalandırılan ihlalleri ve bunların diğer Avrupa ülkeleri yanındaki durumunu görmek ilginç olacak.”
Editör: SANEM GÜVEN
Asıl: https://www.mazars.ie/Home/News-and-Insights/Latest-News/Finance-sector-receiving-most-GDPR-fines
Kadir Has Üniversitesi hukuk fakültesi mezunu olan Deniz Hanım bilişim suçları başta olmak üzere, bilişim hukukuna ilgi duyuyor ve bu alanda çalışmalar yürütüyor.
