İspanya Veri Koruma Otoritesi Bir Varlık Yönetim Şirketine Veri İhlaline Karşı Uygun Güvenlik Önlemleri Uygulamaması ve Yaptığı Bir Sözleşmede Veri Saklama Süresi Sınırlamalarını Belirlememesi Nedeniyle İdari Para Cezası Uygulamıştır

İspanya Veri Koruma Otoritesi (“Otorite”) tarafından 04.09.2025 tarihli ve EXP202318311 sayılı Kararı (“Karar”) ile bir varlık yönetim şirketi (“Şirket”) hakkında, 360 çalışana ait kişisel verilerin ihlale uğraması ve veri işleyen konumundaki bir danışmanlık şirketi ile imzalanan sözleşmede saklama süresine ilişkin düzenleme bulunmaması nedeniyle 180.000 avro tutarında idari para cezası uygulanmıştır.

Karar özetle aşağıdaki şekildedir;

• Veri sorumlusu tarafından, veri işleyen ile yapılan sözleşmede kişisel verilerin işlenmesine ilişkin talimatların bulunduğu, bu nedenle kendisinin veri sorumlusu olmadığı ileri sürülmüştür. Ancak Otorite tarafından, AB Genel Veri Koruma Tüzüğü (“GDPR”) m. 4/7 uyarınca işleme amaçlarını ve vasıtalarını belirleyenin veri sorumlusu olduğu belirtilmiş ve söz konusu iddia reddedilmiştir.
• Otorite tarafından, veri sorumlusunun kişisel verilerin güvenliğini sağlamak amacıyla gerekli teknik ve organizasyonel tedbirleri uygulamadığı tespit edilmiş ve bu husus GDPR m. 5/1(f) hükmünün ihlali olarak değerlendirilmiştir.
• Veri sorumlusu ile veri işleyen arasında imzalanan sözleşmede saklama süresine ilişkin bir sınırlamanın bulunmaması, kişisel verilerin sözleşmenin sona ermesine kadar veri işleyen tarafından saklanacağı sonucunu doğurmaktadır. Otorite tarafından, GDPR m. 28/3 uyarınca sözleşmenin GDPR’a uygun olmasını sağlamanın veri sorumlusunun sorumluluğu olduğu ifade edilmiştir.
• Otorite tarafından GDPR m. 5/1(f) hükmünün ihlali için 250.000 avro, GDPR m. 28 hükmünün ihlali için ise 50.000 avro tutarında idari para cezası uygulanmıştır.
• Ayrıca veri sorumlusunun uygun güvenlik tedbirlerini alması ve veri işleyen ile imzalanan sözleşmenin GDPR hükümlerine uygun hale getirilmesi gerektiği yönünde talimat verilmiştir.
• Veri sorumlusu, İspanyol idari yargılama usulüne ilişkin mevzuat çerçevesinde gönüllü ödeme ve itirazdan feragat imkânlarından yararlanmış ve para cezası %20 oranında azaltılmıştır.
• Ayrıca, sorumluluğun kabul edilmesi nedeniyle ceza %20 oranında daha indirilmiştir. Bu doğrultuda, toplamda %40 oranında indirime gidilmiş ve veri sorumlusu 180.000 avro tutarındaki azaltılmış idari yaptırımı ödemiştir.

Karar’ın tam metnine buradan (İngilizce) ulaşabilirsiniz.

​Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.