anonym.legal

By · Last updated 2026-03-06

Bloga DönGDPR & Uyumluluk

530 Milyon Euro TikTok Cezası: GDPR ve Veri Egemenliği

TikTok'un AB-Çin veri transferleri nedeniyle aldığı 530 milyon Euro GDPR cezası, veri egemenliği uygulamasında yeni bir çağın başladığını gösteriyor. Kümülatif GDPR cezaları 5,65 milyar Euro'ya ulaştığında tedarikçi seçimi artık düzenleyici bir karardır.

March 6, 20269 dk okuma
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

Veri Egemenliğini Yeniden Tanımlayan TikTok Kararı

Mayıs 2025'te İrlanda Veri Koruma Komisyonu, TikTok'a AB kullanıcı verilerini yeterli güvenceler olmaksızın Çin'e aktardığı gerekçesiyle 530 milyon Euro GDPR cezası verdi.

Bu ceza, şimdiye kadar uygulanan ikinci en büyük bireysel GDPR yaptırımıdır; yalnızca Facebook'un ABD sunucularına yönelik yasadışı AB-ABD veri transferleri nedeniyle 2023'te yine İrlanda DPC tarafından verilen 1,2 milyar Euro'luk Meta cezası önündedir. Bu iki dava birlikte ele alındığında net bir uygulama örüntüsü ortaya çıkmaktadır: yeterli güvenceler olmaksızın gerçekleştirilen sınır ötesi veri transferleri öncelikli bir uygulama alanıdır ve DPC, davranış değişikliğini zorlamak için yüksek cezalar uygulamaya hazırdır.

2025 yılı itibarıyla kümülatif GDPR cezaları 5,65 milyar Euro'ya ulaşmıştır (GDPR.eu uygulama takibi). GDPR uygulaması artık arka planda seyreden bir uyum riski değil, düzenleyicilerin aktif olarak dayattığı somut bir iş maliyetidir.

TikTok Kararı Gerçekte Neye Hükmetti?

TikTok davası, öncelikle güvenlik uygulamaları veya veri ihlalleriyle ilgili değildi. Veri konumu ve uluslararası veri transferlerinin hukuki dayanağıyla ilgiliydi.

TikTok'un AB operasyonları, Çin'deki çalışanların erişebildiği sunucularda AB kullanıcı verilerini saklıyor ve işliyordu. GDPR'ın 44-46. maddeleri, uluslararası veri transferlerini yeterlilik kararı bulunmayan ülkelerle, spesifik hukuki mekanizmalar devreye girmediği sürece kısıtlamaktadır. Çin'in AB yeterlilik kararı yoktur. TikTok'un yeterli teknik önlemleri uyguladığına dair argümanı kabul edilmedi.

Yapısal ders şudur: "Sunucularımız AB'de" demek, AB dışındaki personelin verilere erişebildiği ya da kuruluşun GDPR ile çelişen devlet erişim yetkilerine sahip bir ülkenin yasalarına tabi olduğu durumlarda yeterli değildir.

Bu durum, SaaS tedarikçilerini değerlendiren kuruluşlar için doğrudan anlam taşımaktadır. "AB'de barındırıyoruz" diyen ancak ana şirketi ABD merkezli olan ya da AB dışından erişim yetkisi olan destek personeli bulunan bir tedarikçi, TikTok'un karşılaştığı aynı düzenleyici zorlukla yüz yüze gelebilir — müşterileri de aynı şekilde.

Kümülatif Tablo: 5,65 Milyar Euro GDPR Cezası

Uygulama EylemiCezaYılGerekçe
Meta (Facebook) — DPC1,2 Milyar Euro2023Yasadışı AB-ABD transferleri
TikTok — DPC530 Milyon Euro2025AB-Çin transferleri
Amazon — CNPD Lüksemburg746 Milyon Euro2021Reklam hedefleme
WhatsApp — DPC225 Milyon Euro2021Şeffaflık eksikliği
Google — CNIL Fransa150 Milyon Euro2022Çerez onayı

2025 yılı itibarıyla ulaşılan 5,65 milyar Euro'luk kümülatif toplam, GDPR uygulamasının olgunlaştığını yansıtmaktadır: düzenleyiciler, emsal oluşturmaktan ihlal kategorileri genelinde sistematik uygulamaya geçmiştir. Veri transferi ihlalleri artık en yüksek cezanın uygulandığı kategoridir; bu durum, düzenleyici öncelikleri yansıtmaktadır.

Almanya Sağlık Sektörü Sorunu

GDPR'ın 44-46. maddeleri tüm sektörlere eşit biçimde uygulanır; ancak belirli sektörler GDPR'ın ötesinde ek egemenlik gereksinimleriyle karşı karşıyadır.

Alman sağlık sektörü: Sosyal Kanun Kitabı V (SGB V), sağlık verilerinin işlenmesini Almanya kontrolündeki sistemlerle kısıtlar. Dublin'de barındırılan bir bulut anonimleştirme aracı kullanan Alman bir sağlık sigortacısı — teknik olarak AB içinde olsa da — aracın operatörünün Alman olmayan bir kuruluş olması halinde SGB V kapsamında uyumsuz olabilir.

İsviçre bankacılığı: İsviçre Bankacılık Kanunu'nun 47. maddesi, müşteri bilgilerinin açık müşteri onayı olmaksızın yetkisiz taraflarla, bulut hizmet sağlayıcıları dahil, paylaşılmasını yasaklar. İsviçreli bir özel bankanın müşteri verileri, AB'de barındırılmış bir araçla işlense bile bankacılık sırrı yükümlülüklerini tetikleyebilir.

Alman kamu sektörü: BfDI (Federal Veri Koruma Komiseri) rehberi, devlet kurumlarının verilerini devlet kontrolündeki altyapıyla kısıtlamaktadır. Ticari bir bulut sağlayıcısının AB sunucularında barındırılan bir anonimleştirme aracı bu gereksinimini karşılamaz.

Bu davalar, GDPR uyumunun tavan değil, taban olduğunu açıkça ortaya koymaktadır. Düzenlemeye tabi sektörler ve kamu sektörü kuruluşları için egemenlik gereksinimleri çoğunlukla barındırma konumunun ötesine geçen ek kısıtlamalar öngörmektedir.

Yeterlilik Kararı Manzarası

GDPR'ın uluslararası transfer çerçevesi, Avrupa Komisyonu'nun eşdeğer veri koruması sağladığı değerlendirilen ülkeler için "yeterlilik kararı" vermesine dayanır. Mevcut yeterlilik durumu:

Yeterlilik kararı olan ülkeler: Andorra, Arjantin, Kanada (ticari kuruluşlar), Faroe Adaları, Guernsey, İsrail, Man Adası, Japonya, Jersey, Yeni Zelanda, Güney Kore, İsviçre, Birleşik Krallık, Uruguay, ABD (Veri Gizliliği Çerçevesi — Schrems II geçersizliğinin ardından yeniden yürürlüğe girdi)

Yeterlilik kararı olmayan ülkeler: Çin, Hindistan, Rusya, Brezilya, Asya-Pasifik'in büyük bölümü, Orta Doğu ve Kuzey Afrika'nın büyük bölümü, Afrika'nın büyük bölümü

AB-ABD Veri Gizliliği Çerçevesi siyasi müzakereler sonucunda yeniden yürürlüğe girmiştir; ancak hukuki itirazlarla karşı karşıyadır. Mahremiyet savunucuları, önceki mekanizmaları geçersiz kılan ABD gözetim yasası argümanlarına dayalı hukuki itirazlarını şimdiden dile getirmiştir (Schrems I'de Güvenli Liman, Schrems II'de Gizlilik Kalkanı).

ABD'de barındırılan veri işleme için hukuki dayanak olarak AB-ABD Veri Gizliliği Çerçevesi'ne güvenen kuruluşlar, olası bir geçersiz ilan karşısında acil eylem planlarına sahip olmalıdır.

Veri Egemenliği Gereksinimlerinin Araç Seçimine Yansıması

TikTok, Meta ve temel düzenleyici çerçeveden elde edilen kümülatif tablo, SaaS araç seçiminde uyum güvencesi için bir hiyerarşi oluşturmaktadır:

Düzey 1 — AB barındırma: Veriler, AB içinde fiziksel olarak konumlanan sunucularda işlenir ve saklanır. Bu, egemenlik düzeyinde koruma gerektirmeyen veriler için GDPR temel gereksinimini karşılar.

Düzey 2 — AB merkezli operatör: Tedarikçinin kontrol eden kuruluşu AB merkezlidir ve yeterlilik kararı bulunmayan bir ülkenin yasalarına tabi değildir. Bu, AB barındırmasının ana kuruluş için Çin hukukuna maruziyetle eşleştirildiği TikTok sorununu giderir.

Düzey 3 — Sıfır bilgi mimarisi: Tedarikçi ihlale uğrasa, kanun uygulayıcı kurumların baskısına maruz kalsa ya da yabancı bir hükümetin veri talebiyle karşılaşsa bile şifreleme anahtarları münhasıran müşteri tarafından tutulduğundan düz metin verilere erişemez. Bu, tamamen GDPR uyumlu bir tedarikçinin bile yasal talep alması senaryosunu ele alır.

Düzey 4 — Yerel işleme: Veriler kuruluşun kendi altyapısını hiçbir zaman terk etmez. İşleme, yerel donanımda veya devlet kontrolündeki sistemlerde gerçekleşir. Bu, Alman SGB V, İsviçre bankacılık sırrı, BfDI kamu sektörü gereksinimleri ve benzeri egemenlik zorunluluklarını tam anlamıyla karşılamanın tek yoludur.

GDPR DPIA'larına Pratik Yansımaları

GDPR'ın 35. maddesi kapsamında yüksek riskli işleme için zorunlu olan Veri Koruma Etki Değerlendirmeleri (DPIA), verilerin üçüncü ülkedeki işleyicilerle paylaşılması durumunda bir transfer etki değerlendirmesi içermelidir. TikTok kararının ardından, bulut tabanlı anonimleştirme araçlarına yönelik DPIA'lar şu hususları açıkça ele almalıdır:

  1. Ana şirket yargı yetkisi: Tedarikçinin ana şirketi, AB müşteri verilerinin üretilmesini zorunlu kılabilecek yasalara (CLOUD Yasası, Çin siber güvenlik kanunu vb.) tabi midir?

  2. Destek personelinin erişimi: Yeterlilik kararı bulunmayan ülkelerdeki destek veya mühendislik personeli, normal operasyonların bir parçası olarak AB müşteri verilerine erişiyor mu?

  3. Transferler için hukuki dayanak: Yeterlilik kararı bulunmayan ülkelere yönelik veri akışlarına hangi GDPR 46. madde mekanizması uygulanmaktadır (SCA, BCR, istisnalar)?

  4. İhlal etkisi analizi: Tedarikçi ihlale uğrar ya da veri üretimi için zorlanırsa hangi AB müşteri verileri ifşa olur?

Veri işleme araçları için bulut tabanlı anonimleştirme kullanan kuruluşlar açısından bu soruların somut yanıtları belgelenmelidir. TikTok kararı, "sözleşmelerimiz var" gerekçesinin, sözleşmeler yeterlilik açısından gereği gibi değerlendirilmediyse yeterli olmadığını kanıtlamıştır.

2026 Tedarik Süreçlerine Etkileri

TikTok kararının ardından, veri işleme araçlarına yönelik SaaS tedarikçilerini inceleyen Veri Koruma Görevlileri eskiye kıyasla çok daha spesifik sorular sormaktadır:

  • Sunucular nerede? (AB'de mi?)

  • Ana şirket nerede kayıtlı? (AB? ABD? Diğer?)

  • AB dışındaki çalışanların AB müşteri verilerine erişimi var mı?

  • Kanun uygulayıcı kurumlara yönelik veri taleplerinde hangi hukuk geçerli?

  • Sıfır bilgi mimarisi var mı, yoksa şifreleme anahtarlarını tedarikçi mi tutuyor?

  • Yerel işleme seçeneği sunuluyor mu?

Bu soruların yanıtları — DPA imzalarının varlığı değil — TikTok sonrası düzenleyici ortamda gerçek veri egemenliği uyumunu belirlemektedir.

anonym.legal'in web platformu, sıfır bilgi mimarisine sahip AB merkezli Hetzner veri merkezlerini kullanmaktadır — sunucu hiçbir zaman şifrelenmemiş müşteri verisi almaz; tam bir sunucu ihlali yalnızca AES-256-GCM şifreli metin üretir. Yalnızca yerel işleme gerektiren kuruluşlar için Masaüstü Uygulaması, hiçbir harici ağ bağlantısı olmaksızın tüm verileri cihaz üzerinde işlemektedir.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.