Genel Veri Koruma Yönetmeliği (GDPR), Standartlar, Düzenlemeler ve Uyumluluk
AB Dışından Gelen Eleştirilere Rağmen 2025’te Bilinen 1,4 Milyar Dolarlık Ceza Verildi
Mathew J. Schwartz (euroinfosec) •
21 Ocak 2026
Küresel bir hukuk firması, Avrupalılar tarafından alınan veri ihlali bildirimlerinin hacminin geçen yıl beşte bir oranında arttığını ancak veri koruma yetkilileri tarafından uygulanan toplam para cezalarının sabit kaldığını söyledi.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Yazılım Tedarik Zinciri Platformu
Küresel hukuk firması DLA Piper, AB’nin Genel Veri Koruma Yönetmeliği uyarınca uygulanan para cezalarının 2025’te toplamının 1,2 milyar euro (1,4 milyar dolar) olduğunu, bu rakamın düzenleyiciler tarafından 2024’te uygulanan toplam miktarın neredeyse tekrarı olduğunu söyledi. Bu istikrarlı seviye, “yavaşlamadan ziyade sürekli yüksek düzeyde bir yaptırımı” gösteriyor.
Hukuk firması, bu istikrarlı uygulamayı, Avrupa dışından gelen siyasi baskılara rağmen veri koruma yetkililerinin ciddi para cezaları uygulamaya devam edeceğinin kanıtı olarak nitelendirdi. DLA Piper’ın Birleşik Krallık veri koruma ve siber güvenlik uygulamasının ortağı ve başkanı Ross McKean, düzenleyicilerin yapay zeka ve tedarik zinciri güvenliği gibi bireysel teknolojileri hedef aldığını söyledi.
“Düzenleyiciler, özellikle bilgi güvenliği, uluslararası veri aktarımı, şeffaflık ve yapay zeka inovasyonu ile veri koruma yasaları arasındaki karmaşık etkileşim gibi alanlarda son derece aktif olmaya devam ediyor” dedi.
Önceki yıllarda olduğu gibi, 2025’te de ABD teknoloji firmaları ve sosyal medya devleri en yüksek meblağları ödediler; bu, pek çok Avrupalının Amerikan tüketici gözetimi odaklı uygulamalarının kıtasal gizlilik uygulamalarıyla doğası gereği uyumsuz olduğunu söylediği göz önüne alındığında şaşırtıcı olmayan bir gerçek (bkz.: AB Gizlilik Düzenleyicileri Tarafından Uygulanan Toplam Cezalar 2024’te Düşürüldü).
Birçok ABD teknoloji devinin Avrupa operasyonları İrlanda merkezlidir. Tarihte uygulanan en büyük GDPR cezasının, İrlanda Veri Koruma Komisyonu tarafından Meta Platforms Ireland’a karşı 2023’te uygulanan 1,2 milyar avro olması tesadüf değil. Yine de İrlanda Veri Koruma Komisyonu, ABD teknoloji şirketlerine çocuk eldiveni muamelesi yaptığı iddiasıyla AB meslektaşlarından ağır eleştirilere maruz kalıyor.
İrlandalı DPC, 2025’te yine Avrupa’nın en büyük GDPR cezasını dağıttı; bu kez Çinli sosyal medya şirketi TikTok’a karşı 530 milyon avro tutarında. Yaptırımlar, TikTok’un Avrupalıların kişisel verilerini Temmuz 2020’den Kasım 2022’ye kadar kullanıcılara bilgi vermeden veya verilerin yeterince korunduğunu göstermeden Çin sunucularında depolamasından kaynaklandı.
Avrupa’nın veri şeffaflığı ve mahremiyetin korunmasına ilişkin endişeleri tarihsel olarak Amerika Birleşik Devletleri’ne veri aktarımlarına odaklanmıştı. DLA Piper, TikTok para cezasının Atlantik üzerinden akmayan ancak başka bir AB üyesi olmayan ülke için uygulanan ilk yaptırım eylemi olduğunu söyledi.
Rapor 28 Ocak 2025’ten 27 Ocak 2026’ya kadar olan dönemi kapsıyor. Bu ayın son kısmı tahmin edilen verilere dayanıyor. Bazı yargı bölgelerine ilişkin veriler de tahminlere dayanmaktadır, çünkü tüm veri koruma yetkilileri ulusal veri ihlali istatistiklerini kamuya açıklamamaktadır. Aralarında Belçika, Almanya, İtalya ve Hollanda’nın da bulunduğu birden fazla ülke için 2025 yılının tamamına ait veriler mevcut değil.
Toplam Ceza: İrlanda Önde
İrlanda bugüne kadar verilen GDPR cezalarının toplam değerinde ilk sırada yer alıyor. Raporda, GDPR’nin yürürlüğe girdiği Mayıs 2018’den bu yana DPC yaptırımlarının 4 milyar avroya ulaştığı belirtiliyor.
Fransa, toplam 1,1 milyar avroluk para cezasıyla açık ara ikinci sırada yer alıyor, ancak raporda şu uyarı yer alıyor: “Fransa’da, GDPR kapsamında uygulanan cezaları ve e-gizlilik mevzuatı gibi diğer rejimler kapsamında uygulanan cezaları ayırmak her zaman mümkün olmuyor, bu nedenle Fransa’da GDPR kapsamında verilen cezaların toplam değeri şişirilebilir.”
Lüksemburg, esas olarak Ulusal Veri Koruma Komisyonu’nun (CNPD) 2021’de daha önce adı açıklanmayan bir ABD çevrimiçi perakendecisine ve e-ticaret platformuna uyguladığı 746 milyon euro para cezası nedeniyle toplam 747 milyon euro para cezasıyla üçüncü sırada yer aldı. Ülkenin veri koruma kanunu, CNPD’nin şirketin adını vermesini, dava hakkında yorumda bulunmasını veya karar almasını yasaklıyor. Başta Amazon olmak üzere bir avuç ABD şirketinin, ABD’nin Rhode Island eyaletinden daha küçük olan ülkede Avrupa operasyonları bulunuyor.
Yaptırım uygulanan işletme, Ekim 2021’de para cezasına itiraz eden ve ardından Ocak 2024’te Lüksemburg İdari Mahkemesinde duruşma yapan Amazon Europe Core’dur. 18 Mart 2025’te mahkeme Amazon’un itirazını reddetti ve cezayı onadı. Amazon başka bir itiraz girişiminde bulunabilir.
AB GDPR Değişikliklerini Tartışıyor
Avrupa Komisyonu geçtiğimiz Kasım ayında, çok uluslu bloğun veri koruma yasalarını “basitleştirmek, açıklığa kavuşturmak ve geliştirmek” için tasarlanmış bir Dijital Omnibus teklifi biçiminde öncü gizlilik yasasında önerilen değişiklikleri açıkladı.
Değişiklikler, AB siber güvenlik kurumu ENISA tarafından sürdürülecek, düzenleyicileri olaylar hakkında bilgilendirmek için yeni, tek bir çevrimiçi raporlama platformunun sunulmasını içeren tekliflerle birlikte kuralları düzene koymak ve uyumluluk maliyetlerini azaltmak için tasarlandı. Teklifler ayrıca bildirim son tarihini 72 saatten 96 saate uzatacak ve üye devletlerin veri koruma yetkililerinden oluşan Avrupa Veri Koruma Kurulu’nun “veri ihlali bildirimleri için ortak bir şablon için bir teklif hazırlayıp komisyona sunmasını” gerektirecek.
DLA Piper, tek bir raporlama şablonu da dahil olmak üzere tekliflerin, kısmen GDPR, Ağ ve Bilgi Güvenliği Direktifi 2 ve Dijital Operasyonel Dayanıklılık Yasası kapsamında bazen örtüşen yükümlülükleri ele almak üzere “bir kez raporla, birçok kez paylaş” yaklaşımını sunmak üzere tasarlandığını söyledi.
Tekliflerin “hassas bir dengeleme eylemiyle karşı karşıya olduğu: güveni veya temel hakları zedelemeden kuralların basitleştirilmesi” ile karşı karşıya olduğu ifade edilen raporda, Avrupa Komisyonu, Avrupa Parlamentosu ve AB Konseyi’nin bu yılın ilerleyen dönemlerinde değişiklikleri tartışırken ayrıntıların değişebileceği de belirtildi.
Birleşik Krallık’ta Daha Fazla Uygulama Çağrısı
Başka bir uygulama eğilimi: İngiltere’nin geçen yıl yayınlanan veri ihlali bildirimlerinin sayısında dördüncü sırada yer almasına rağmen, DLA Piper, Birleşik Krallık Bilgi Komiserliği Ofisi tarafından GDPR’nin uygulanmasının “AB’ye kıyasla Birleşik Krallık’ta sınırlı olmaya devam ettiğini” söyledi.
Bu eğilim Büyük Britanya’da da gözden kaçmadı. Geçtiğimiz Kasım ayında 70’ten fazla sivil toplum kuruluşu, akademisyen ve veri koruma uzmanı Parlamentonun Bilim Bilgi ve Teknoloji Seçilmiş Komitesi’ni ICO’nun “uygulama faaliyetindeki çöküşü” araştırmaya çağırdı.
Mektup, ICO’nun, Taliban’dan kaçan 19.000 kişiyi tanımlayan bir elektronik tablonun 2022’de sızdırılmasını içeren sözde Afgan veri ihlali sonrasında Savunma Bakanlığı’nı soruşturmama kararının ardından geldi. Veriler Facebook’ta yayınlandı. Britanya hükümeti, benzeri görülmemiş bir hareketle, ihlalin kamuya açıklanmasını yasaklayan bir ihtiyati tedbir kararı çıkardı.
Mektup, ICO’nun GDPR’yi uygulama konusunda daha yaygın bir eksikliğine işaret ediyordu.
Mektubu imzalayan Open Rights Group’un hukuk ve politika sorumlusu Mariano delli Santi, “Hem hükümete hem de özel sektöre karşı harekete geçmekten korkmayan güçlü bir veri düzenleyicisine ihtiyacımız var” dedi.
Britanya, Veri (Kullanım ve Erişim) Yasası 2025 veya DUA Yasası olarak bilinen ve 19 Haziran 2025’te kabul edilen ve Kraliyet Onayını alan yerel GDPR mevzuatını yeniden şekillendiriyor. DLA Piper, yasanın, Britanyalıların otomatik karar alma için yapay zeka sistemlerini kullanmasını kolaylaştırmak için tasarlanmış mevcut veri koruma ve e-gizlilik yasalarında “nispeten mütevazı” olmasına rağmen çok sayıda değişiklik yaptığını söyledi.
Değişiklikler bu Haziran ayına kadar aşamalı olarak uygulanacak ve ICO’nun yapısının değiştirilmesini, ona soruşturmalarında yardımcı olacak yeni yetkilerin verilmesini, ayrıca şeffaflığı ve hesap verebilirliği artırmayı amaçlayan yeni görevleri ve raporlama gerekliliklerini içerecek.