anonym.legal
Bloga DönGDPR & Uyumluluk

€530M TikTok Cezası ve Yeni GDPR Veri Egemenliği...

TikTok'un AB-Çin veri transferleri nedeniyle aldığı €530M GDPR cezası, veri egemenliği uygulamasında yeni bir dönemi işaret ediyor.

March 6, 20269 dk okuma
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

Veri Egemenliğini Yeniden Tanımlayan TikTok Kararı

Mayıs 2025'te, İrlanda Veri Koruma Komisyonu, TikTok'a AB kullanıcı verilerini yeterli güvenlik önlemleri olmadan Çin'e transfer ettiği için €530M GDPR cezası verdi.

Bu ceza, şimdiye kadar verilen en büyük ikinci bireysel GDPR cezasıdır ve 2023'te İrlanda DPC tarafından verilen €1.2B Meta cezası ile takip edilmektedir; bu ceza, Facebook'un ABD sunucularına yasadışı AB-ABD veri transferleri nedeniyle verilmiştir. Bu iki dava, yeterli güvenlik önlemleri olmadan sınır ötesi veri transferlerinin öncelikli bir uygulama alanı olduğunu ve DPC'nin davranış değişikliği sağlamak için ölçekli cezalar uygulayacağını açıkça ortaya koymaktadır.

2025 yılı itibarıyla €5.65B'lık toplam GDPR cezası (GDPR.eu uygulama izleyicisi) ile GDPR uygulaması artık arka planda bir uyum riski değil — düzenleyicilerin aktif olarak dayattığı bir iş maliyeti haline gelmiştir.

TikTok Davasının Gerçekten Ne Belirlediği

TikTok davası esasen güvenlik uygulamaları veya veri ihlalleri ile ilgili değildi. Veri konumu ve uluslararası veri transferleri için yasal dayanak ile ilgiliydi.

TikTok'un AB operasyonları, AB kullanıcı verilerini Çin'deki çalışanlar tarafından erişilebilen sunucularda depoladı ve işledi. GDPR'nın 44-46. Maddeleri, belirli yasal mekanizmalar mevcut olmadıkça, AB yeterlilik kararı olmayan ülkelere uluslararası veri transferlerini kısıtlamaktadır. Çin'in bir AB yeterlilik kararı yoktur. TikTok'un yeterli teknik önlemler aldığına dair argümanı kabul edilmedi.

Yapısal ders: "sunucularımız AB'de" yeterli değildir eğer veriler AB dışındaki personel tarafından erişilebiliyorsa, ya da organizasyon, GDPR ile çelişen devlet erişim yetkilerine sahip bir ülkenin yasalarına tabi ise.

Bu, SaaS tedarikçilerini değerlendiren organizasyonlar için doğrudan ilgilidir. "AB'de barındırıyoruz" diyen bir tedarikçi ancak ana şirketi ABD merkezli ise veya destek personeli AB dışından erişim sağlıyorsa, TikTok'un karşılaştığı aynı düzenleyici zorlukla karşılaşabilir — ve müşterileri de öyle olabilir.

Kümülatif Tablo: €5.65B GDPR Cezası

Uygulama EylemiCezaYılGerekçe
Meta (Facebook) — DPC€1.2B2023Yasadışı AB-ABD transferleri
TikTok — DPC€530M2025AB-Çin transferleri
Amazon — CNPD Lüksemburg€746M2021Reklam hedefleme
WhatsApp — DPC€225M2021Şeffaflık eksiklikleri
Google — CNIL Fransa€150M2022Çerez onayı

2025 yılı itibarıyla toplam €5.65B'lık ceza, GDPR uygulamasının olgunlaştığını yansıtmaktadır: düzenleyiciler, emsal oluşturmaktan, ihlal kategorilerinde sistematik uygulamaya geçmiştir. Veri transferi ihlalleri artık en yüksek ceza kategorisidir ve düzenleyici öncelikleri yansıtmaktadır.

Alman Sağlık Sorunu

GDPR'nın 44-46. Maddeleri tüm sektörlerde eşit şekilde uygulanmaktadır, ancak bazı sektörler GDPR'nın ötesinde ek egemen veri gereklilikleri ile karşı karşıyadır.

Alman sağlık hizmetleri: Sosyal Kod Kitabı V (SGB V), sağlık verisi işlemesini Almanya kontrolündeki sistemlerle kısıtlamaktadır. Dublin'de barındırılan bir bulut anonimleştirme aracı kullanan bir Alman sağlık sigortacısı — teknik olarak AB'de — eğer aracın işletmecisi, potansiyel Alman yasası çatışmaları olan bir yabancı varlık ise SGB V ile uyumsuz olabilir.

İsviçre bankacılığı: İsviçre bankacılığı gizliliği yasası (Bankacılık Yasası'nın 47. Maddesi) yetkisiz taraflara müşteri bilgilerini ifşa etmeyi yasaklamaktadır; bu, açık müşteri onayı olmayan bulut hizmet sağlayıcılarını da kapsamaktadır. Bir İsviçre özel bankasının müşteri verileri, herhangi bir bulut aracı üzerinden işlenirse — hatta AB'de barındırılan — bankacılık gizliliği yükümlülüklerini tetikleyebilir.

Alman kamu sektörü: BfDI (Federal Veri Koruma Komiseri) kılavuzu, hükümet ajansı verilerini hükümet kontrolündeki altyapı ile kısıtlamaktadır. Ticari bir bulut sağlayıcısının AB sunucularında barındırılan bir anonimleştirme aracı bu gerekliliği karşılamaz.

Bu durumlar, GDPR uyumunun zemin, tavan olmadığını göstermektedir. Düzenlemeye tabi endüstriler ve kamu sektörü organizasyonları için, egemen veri gereklilikleri sıklıkla barındırma konumunun ötesinde ek kısıtlamalar getirmektedir.

Yeterlilik Kararı Manzarası

GDPR'nın uluslararası transfer çerçevesi, Avrupa Komisyonu'nun eşdeğer veri koruması sağladığı düşünülen ülkeler için "yeterlilik kararları" vermesine bağlıdır. Mevcut yeterlilik manzarası:

Yeterlilik kararına sahip ülkeler: Andorra, Arjantin, Kanada (ticari organizasyonlar), Faroe Adaları, Guernsey, İsrail, Man Adası, Japonya, Jersey, Yeni Zelanda, Güney Kore, İsviçre, Birleşik Krallık, Uruguay, ABD (Veri Gizliliği Çerçevesi — Schrems II iptalinden sonra yeniden yürürlüğe girdi)

Yeterliliği olmayan ülkeler: Çin, Hindistan, Rusya, Brezilya, APAC'ın çoğu, MENA'nın çoğu, Afrika'nın çoğu

Veri Gizliliği Çerçevesi (AB-ABD), siyasi müzakerelerin ardından yeniden yürürlüğe girdi, ancak hukuken tartışmalıdır. Gizlilik savunucuları, önceki versiyonlarını (Schrems I'deki Safe Harbor, Schrems II'deki Privacy Shield) geçersiz kılan ABD gözetim yasası argümanlarına dayanan hukuki itirazları zaten işaret ettiler.

AB-ABD Veri Gizliliği Çerçevesi'ni ABD merkezli veri işleme için yasal dayanak olarak kullanan organizasyonların, başka bir iptal için acil durum planları olmalıdır.

Veri Egemenliği Gerekliliklerinin Araç Seçimine Dönüşümü

TikTok, Meta ve temel düzenleyici çerçeveden gelen kümülatif tablo, SaaS araç seçimi için uyum güvence hiyerarşisi oluşturur:

Seviye 1 — AB'de barındırma: Veri, fiziksel olarak AB'de bulunan sunucularda işlenir ve depolanır. Bu, egemen düzeyde koruma gerektirmeyen veriler için temel GDPR gerekliliğini karşılar.

Seviye 2 — AB merkezli işletmeci: Tedarikçinin kontrol eden varlığı AB merkezli olup, yetersiz bir ülkenin yasalarına tabi değildir. Bu, TikTok'un ana varlığının Çin yasalarına maruz kaldığı durumla ilgili sorunu ele alır.

Seviye 3 — Sıfır bilgi mimarisi: Tedarikçi ihlal edilse, yasaların zorlamasıyla veya yabancı bir hükümet tarafından veri üretmesi istense bile, müşteri tarafından yalnızca şifreleme anahtarları tutulduğundan, düz metin veriye erişemezler. Bu, tamamen GDPR uyumlu bir tedarikçiye bile yasal bir talep geldiğinde ortaya çıkan durumu ele alır.

Seviye 4 — Yerel işleme: Veri, organizasyonun kendi altyapısından asla çıkmaz. İşleme, yerel donanım veya hükümet kontrolündeki sistemlerde gerçekleşir. Bu, yalnızca Alman SGB V, İsviçre bankacılığı gizliliği, BfDI kamu sektörü gereklilikleri ve benzeri egemen veri taleplerini tam olarak karşılayan yaklaşımdır.

GDPR DPIA'ları için Pratik Sonuç

GDPR'nın 35. Maddesi uyarınca yüksek riskli işlemler için gerekli olan Veri Koruma Etki Değerlendirmeleri (DPIA'lar), verilerin üçüncü ülke işlemcileri ile paylaşıldığında bir transfer etki değerlendirmesi içermelidir. TikTok kararının ardından, bulut tabanlı anonimleştirme araçları için DPIA'lar açıkça aşağıdakileri ele almalıdır:

  1. Ana şirketin yargı yetkisi: Tedarikçinin ana şirketi, AB müşteri verilerinin üretilmesini gerektirebilecek yasaların (CLOUD Act, Çin siber güvenlik yasası, vb.) kapsamına mı giriyor?

  2. Destek personeli erişimi: Yetersiz ülkelerdeki destek veya mühendislik personeli, normal operasyonlar kapsamında AB müşteri verilerine erişim sağlıyor mu?

  3. Transferler için yasal dayanak: Yetersiz ülkelere yapılan veri akışları için hangi spesifik GDPR 46. Madde mekanizması geçerlidir (SCC'ler, BCR'ler, istisnalar)?

  4. İhlal etki analizi: Eğer tedarikçi ihlal edilirse veya veri üretmesi zorlanırsa, hangi AB müşteri verileri açığa çıkacaktır?

Bulut tabanlı anonimleştirme araçları kullanan organizasyonlar için bu soruların somut yanıtları olmalı ve belgelenmelidir. TikTok kararı, "sözleşmelerimiz var" ifadesinin yeterli olmadığını göstermiştir; eğer bu sözleşmeler yeterlilik açısından düzgün bir şekilde değerlendirilmemişse.

Bu, 2026 Tedarik Süreci İçin Ne Anlama Geliyor

TikTok kararının ardından, veri işleme araçları için SaaS tedarikçilerini gözden geçiren DPO'lar, öncekilerden daha spesifik sorular sormaktadır:

  • Sunucular nerede? (AB'de mi?)
  • Ana şirket nerede kurulmuş? (AB'de mi? ABD'de mi? Diğer mi?)
  • AB dışındaki çalışanlar AB müşteri verilerine erişim sağlıyor mu?
  • Yasal veri talepleri için hangi yasa geçerlidir?
  • Sıfır bilgi mimarisi var mı, yoksa tedarikçi şifreleme anahtarlarını mı tutuyor?
  • Yerel işleme seçeneği var mı?

Bu soruların yanıtları — DPA imzalarının varlığı değil — TikTok sonrası düzenleyici ortamda gerçek veri egemenliği uyumunu belirler.

anonym.legal'ın web platformu, sunucunun asla şifrelenmemiş müşteri verisi almadığı ve tam bir sunucu ihlali durumunda yalnızca AES-256-GCM şifreli metin ürettiği sıfır bilgi mimarisine sahip AB merkezli Hetzner veri merkezlerini kullanmaktadır. Yerel işleme gerektiren organizasyonlar için, Masaüstü Uygulaması tüm verileri cihazda işleyerek dış ağ iletişimi olmaksızın çalışır.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle