anonym.legal

By · Last updated 2026-06-05

Bloga DönGDPR & Uyumluluk

İrlanda DPC: AB GDPR Mega Cezalarının %80'i

530 milyon Euro TikTok, 310 milyon Euro LinkedIn, 251 milyon Euro Meta — hepsi İrlanda'nın DPC'sinden. Neden Büyük Teknoloji şirketleri AB merkezini İrlanda'ya kuruyor ve DPC yaptırımının SaaS için ne anlama geldiği.

June 5, 20268 dk okuma
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

İrlanda'nın AB Yaptırımına Öncülük Etmesinin Nedeni

İrlanda Veri Koruma Komisyonu (DPC), büyük AB teknoloji şirketlerinin çoğu için başlıca denetim kurumudur. Bu bir tesadüf değildir.

İrlanda'nın düşük vergi oranı Apple, Google, Meta, LinkedIn ve TikTok'u çekti. Hepsi ana AB ofislerini orada kurdu.

GDPR Madde 60, DPC'yi bu firmalar için başlıca kurum yapar. Bu kuraldan üç sonuç çıkar.

Birincisi, Facebook hakkında Almanya'da yapılan şikayet Alman BfDI'ya değil İrlanda DPC'ye gider. İkincisi, DPC sınır ötesi davalarda diğer AB kurumlarıyla birlikte çalışır. Üçüncüsü, Meta aleyhine verilen DPC kararı AB'nin tamamında geçerlidir.

Sonuç açıktır. DPC, diğer tüm AB kurumlarını toplu olarak geçen bir ceza tutarı ortaya koymuştur. Bunun satıcı kararlarını nasıl şekillendirdiğini GDPR uyum genel bakışımızda okuyun.

2024–2025'i Tanımlayan Üç Ceza

TikTok'a 530 milyon Euro (Mayıs 2025): Çinli mühendisler AB kullanıcı kayıtlarına erişti. Bu durum GDPR Madde 44–46'yı ihlal etti. Bu maddeler, AB yeterlilik kararı bulunmayan ülkelere yapılan aktarımları kısıtlıyor. Çin'in yeterliliği yok. TikTok yeterli kontroller uyguladığını öne sürdü. DPC bunu kabul etmedi.

LinkedIn'e 310 milyon Euro (Ekim 2024): LinkedIn, davranış analizi için "meşru menfaat"e dayandı. DPC bunu geçersiz saydı. İşleme belirtilen hedef için zorunlu değildi. Denge testi LinkedIn'in lehine sonuçlanmadı.

Meta'ya 251 milyon Euro (Kasım 2024): 2018 Facebook ihlali DPC'ye zamanında bildirilmedi. DPC ayrıca yetersiz denetim günlüklerinin neyin ifşa edildiğini ölçmeyi imkânsız kıldığını tespit etti.

Bu üçü, Mayıs 2023'teki 1,2 milyar Euro'luk Meta cezasına eklendi. O ceza da yasadışı AB-ABD aktarımları nedeniyle DPC'den geldi. Şimdiye kadar verilen en büyük GDPR cezası olma özelliğini koruyor.

DPC 2024'te 8.500'den fazla sınır ötesi davayı ele aldı. Sıfır bilgi tasarımının her başarısızlığı nasıl ele aldığını görmek için güvenlik ve uyum sayfamıza göz atın.

Her Cezanın Ortaya Koyduğu

Sınır Ötesi Erişim Başarısızlıkları

Üç cezanın da ortak bir temel sorunu var. Kişisel kayıtlar, AB düzeyinde gizlilik kuralları bulunmayan ülkelerdeki çalışanlara açıktı.

TikTok cezası doğrudan buydu. AB kullanıcı dosyaları, belirtilen kontrollere rağmen Çinli mühendislere ulaştı.

Satıcı seçimi için önemi: AB merkezli kullanıcı kayıtlarına AB dışındaki çalışanların erişip erişemeyeceğini sorun. Bir satıcı Dublin'de barındırıyor olabilir ama yine de AB dosyalarını ABD'li destek personeli aracılığıyla ifşa edebilir. AB'de barındırma tek başına yeterli değildir. Varlık işleme rehberimiz, erişim kontrollerinin GDPR Madde 46 ile nasıl örtüştüğünü gösteriyor.

Yasal Dayanak Başarısızlıkları

LinkedIn cezası bir ihlalle ilgili değildi. LinkedIn'in işlemeyi nasıl gerekçelendirdiğiyle ilgiliydi.

"Meşru menfaat" sınırsız bir hak değildir. Veri sorumluları gerçek bir denge testi belgelemelidir. Bu test, çıkarlarının kullanıcının haklarının üzerinde olduğunu göstermelidir. Uyum sayfamız, satıcı yasal dayanak iddialarını nasıl gözden geçireceğinizi kapsıyor.

Günlükleme ve Bildirim Başarısızlıkları

Meta'nın 251 milyon Euro'luk cezası önemli bir tespit içeriyordu. Yetersiz denetim günlükleri ihlal kapsamını ölçmeyi imkânsız kıldı.

GDPR Madde 33, 72 saat içinde ihlal bildirimi zorunlu kılıyor. Bu bildirim etkilenen kayıtların kapsamını içermelidir. Ölçemediğiniz bir kapsamı raporlayamazsınız.

Adaylar satıcıların denetim günlüğü yapısı hakkında sorular sormanız gerekir. Bir satıcı bir olayın ardından "hangi kayıtlar ifşa edildi?" sorusunu yanıtlayamıyorsa Madde 33(3)(b)'yi karşılayamıyor demektir.

DPC Davalarındaki Örüntü

Büyük dört DPC cezasının tamamına bakıldığında tek bir örüntü öne çıkıyor. Düzenleyiciler, satıcı mühendislerinin kullanıcı içeriğini görebildiği tasarımlara karşı harekete geçiyor. Her büyük ceza, kişisel kayıtlara kötü kontrol edilmiş erişimi kapsıyordu.

Sıfır bilgi tasarımı, her davadaki temel kaygıyı ele alıyor. Kullanıcı içeriği şifrelenir. Satıcı şifre çözme anahtarlarına sahip değildir.

TikTok ve Meta aktarım davalarında AB dışındaki mühendisler sunucuya ulaşır ama yalnızca şifreli metin görür. Okunabilir kayıt ifşa edilmez. Meta ihlal davasında eksiksiz bir sunucu ele geçirilmesi hiçbir işe yarar şey vermez. İhlal kapsamı küçülür. LinkedIn davasında düz metin hiç göremeyen bir satıcı üzerinde davranış analizi yapamaz.

Bu, her DPC işlemine verilen doğrudan yanıttır. Ayrıntılar için güvenlik genel bakışımıza veya anonym.legal'ın neden bu şekilde kurulduğuna ilişkin kurucu açıklamasına bakın.

"Ana Kuruluş" Ne Anlama Gelir

Bazı şirketler hangi veri koruma kurumunun yetki kullanacağını kontrol etmek için AB yapılarını belirli şekillerde düzenliyor. DPC'nin görüşü burada önem kazanıyor.

"Ana kuruluş" yalnızca bir şirket adresi değildir. Merkezi AB yönetiminin bulunduğu yerdir. Veri sorumluları için işleme hedefleri hakkında kararların alındığı yerdir.

Londra'da gizlilik ekibi bulunan bir firmanın AB ana kuruluşu olmayabilir. Her üye devletin veri koruma kurumu, yerel şikayetler için yetki kullanabilir.

Satıcı İnceleme Soruları

Kişisel kayıtları işleyen SaaS satıcılarını değerlendirirken şu soruları kullanın.

Yetki alanı ve erişim:

  • Satıcının AB ana kuruluşu nerede?
  • AB dışındaki çalışanlar normal çalışmada AB kullanıcı kayıtlarına erişebilir mi?
  • Satıcının ana şirketi CLOUD Yasası veya Çin güvenlik yasaları kapsamında mı?

Teknik tasarım:

  • AB kullanıcı içeriği AB barındırma sunucularında mı kalıyor?
  • Şifreleme anahtarlarını satıcı mı yoksa müşteri mi tutuyor?
  • Denetim günlükleri ihlal kapsamını ölçecek kadar ayrıntılı mı?

Aktarım kayıtları:

  • Herhangi bir AB-ABD akışını hangi GDPR Madde 46 mekanizması kapsıyor?
  • Satıcı Aktarım Etki Değerlendirmesi yaptı mı?
  • Hangi ek teknik tedbirler uygulanıyor?

DPC yaptırımı tek bir konuda tutarlı. Gizlilik ekipleri ve VKD'leri olan firmalar bile teknik tasarımları iddialarıyla örtüşmediğinde büyük cezalarla karşılaşıyor. Daha fazlası için vaka çalışmalarımıza ve SSS'imize bakın.

anonym.legal, sıfır bilgi tasarımıyla Hetzner'in AB merkezli sunucularını kullanmaktadır. Sunucular yalnızca AES-256-GCM şifreli metni barındırır. Eksiksiz bir ihlal okunabilir kayıt ortaya çıkarmaz. Masaüstü Uygulama, dış bağlantı olmaksızın tüm içeriği cihazda işler.

Kaynaklar

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.