Başvuru, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kişisel Verileri Koruma Kurulu tarafından uygulanan idari para cezası nedeniyle mülkiyet hakkının ihlal edildiği iddiasına ilişkindir.
BAŞVURUSU(Başvuru Numarası: 2020/7518) Karar Tarihi: 12/10/2023R.G. Tarih ve Sayı: 15/12/2023-32400 GENEL KURUL KARARGİZLİLİK TALEBİ KABUL Başkan:Zühtü ARSLANBaşkanvekili:Hasan Tahsin GÖKCANBaşkanvekili:Kadir ÖZKAYAÜyeler:Engin YILDIRIM Muammer TOPAL Emin KUZ Rıdvan GÜLEÇ Yusuf Şevki HAKYEMEZ Yıldız SEFERİNOĞLU Selahaddin MENTEŞ Basri BAĞCI İrfan FİDAN Kenan YAŞAR Muhterem İNCERaportör:Mehmet ALTUNDİŞBaşvurucu:Vekili:Av. Deniz TUNCEL Başvuru, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kişisel Verileri Koruma Kurulu tarafından uygulanan idari para cezası nedeniyle mülkiyet hakkının ihlal edildiği iddiasına ilişkindir. Başvuru 19/2/2020 tarihinde yapılmıştır. Başvuru, başvuru formu ve eklerinin idari yönden yapılan ön incelemesinden sonra Komisyona sunulmuştur. Komisyonca başvurunun kabul edilebilirlik incelemesinin Bölüm tarafından yapılmasına karar verilmiştir. Birinci Bölüm başvurunun Genel Kurul tarafından incelenmesine karar vermiştir. Başvuru belgelerinin bir örneği bilgi için Adalet Bakanlığına (Bakanlık) gönderilmiştir. Bakanlık, görüşünü bildirmiştir. Başvuru formu ve eklerinde ifade edildiği şekliyle ilgili olaylar özetle şöyledir: Başvurucu; merkezi yurt dışında bulunan, farklı ülkelerde oteller işleten, otellere franchise hizmeti sağlayan ve bağlı şirketleri aracılığıyla devre mülklere lisans temin eden holding şirketi konumundadır. Başvurucu Şirket bir başka konaklama şirketini 2016 yılında devralmıştır. Başvurucu 8/9/2018 tarihinde devraldığı konaklama şirketinin konuk rezervasyon veri tabanındaki şüpheli işleme dair kurum içi güvenlik aracından bir uyarı almıştır. Yapılan incelemeler sonucunda 19/11/2018 tarihinde, bu şirketin konuk rezervasyon veri tabanına yetkisiz üçüncü bir kişinin eriştiği bilgisi teyit edilmiştir. Başvurucu 30/11/2018 tarihinde bir basın açıklaması yayımlamış, konuya dair bir web sitesini erişime açarak olaya ilişkin bilgi sağlamış ve ilgili kişilerin kendilerini nasıl koruyabileceklerine dair tavsiyelerde bulunmuştur. Ayrıca durumdan etkilenen ve geçerli elektronik posta adresi bulunan misafirlerine elektronik postalar göndermiştir. Başvurucu 3/12/2018 tarihinde Kişisel Verileri Koruma Kurumuna (Kurum) Türk vatandaşlarını ilgilendiren güvenlik olayı hakkında veri ihlali bildiriminde bulunmuştur. Bu bildirimde Şirket özetle;i. 500 milyon müşteri verisinin veri ihlali nedeniyle kopyalandığını,ii. Veri tabanının tutulduğu şirketin ağına Temmuz 2014'ten beri yetkisiz erişim olduğunu ve misafir veri tabanına yetkisiz erişimin 8/9/2018'de tespit edildiğini,iii. 500 milyon müşteriden yaklaşık 327 milyonunun kişisel verilerinin çalındığını,iv. İhlalden etkilenen verilerin ad/soyadı, posta adresi, telefon numarası, doğum tarihi, cinsiyeti, pasaport numarası, konaklama şirketinin hesap bilgileri, otel bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgiler olduğunu ifade etmiştir. Yapılan bildirimin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 5/12/2018 tarihli kararıyla, devralınan konaklama şirketinin veri ağının güvenliği için yeterli önlemlerin alınmaması sonucunda gerçekleşen ihlalle ilgili olarak Türkiye'de yerleşik olan vatandaşların bu ihlalden etkilenip etkilenmediği, veri ihlalinden etkilenen, Türkiye'de yerleşik olan vatandaş bulunması hâlinde ihlal hakkında yapılan ve planlanan çalışma detayları hususlarında başvurucudan bilgi istenmesine, söz konusu ihlalin Kurum internet sayfasında ilan edilmesine karar verilmiştir. Başvurucu, sunduğu 28/3/2019 tarihli beyan dilekçesinde özetle;i. Yaklaşık 383 milyon müşteri kaydının olduğunu, bunlardan yaklaşık 24 milyonunda bölge/ülke adresi olarak Türkiye'nin belirtildiğini, bunun 383 milyon ayrı müşterinin veya 24 milyon Türk müşterinin olaya dâhil olduğu anlamına gelmediğini, çok kez aynı müşteri için birden fazla kayıt bulunduğunu,ii. Çalınan verilerin niteliği ve büyüklüğü karşısında verilerin tekilleştirilmesinin kolayca gerçekleştirilmediğini, geçen süre içinde saldırganın bu alandaki yetkinliği dikkate alındığında incelemenin ortaya çıkarabildiği bilgilerin sınırlı olduğunu,iii. Devralınan konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini beyan etmiştir. Kurul tarafından 16/5/2019 tarihinde başvurucu hakkında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığından 000 TL ve aynı Kanun'un maddesinin (5) numaralı fıkrasında yer alan ihlalin en kısa sürede bildirilmesi yükümlülüğüne uymadığından 000 TL olmak üzere toplam 000 TL idari para cezası uygulanmasına karar verilmiştir. Bu karar 12/7/2019 tarihinde, başvurucu muhatap gösterilmek suretiyle başvurucunun Türkiye'deki otellerini işleten dolaylı iştirakine tebliğ edilmiştir. Başvurucu 26/7/2019 tarihinde idari para cezasının kaldırılması talebiyle itiraz etmiştir. Başvurucu itiraz dilekçesinde özetle idari yaptırım kararının usulüne uygun olarak tebliğ edilmediğini, 6698 sayılı Kanun'un yürürlük tarihinden önceki olaylara uygulandığını, veri sorumlusu olarak kendisinin kabul edilemeyeceğini, Kurul kararının gerekçeli olmadığını, 6698 sayılı Kanun'da ihlal bildiriminin en kısa sürede yapılmasının düzenlendiğini, kısıtlayıcı bir süre öngörülmediğini, idari para cezasının en yüksek hadden verilmesinin ölçüsüz olduğunu belirtmiştir. İstanbul Anadolu Sulh Ceza Hâkimliği 7/11/2019 tarihli kararı ile kabahatin işlendiği yeri dikkate alarak yetkisizlik kararı vermiş, dosyanın Ankara Sulh Ceza Hâkimliğine gönderilmesine hükmetmiştir. Başvurucu bu karara 13/12/2019 tarihli dilekçe ile itiraz etmiştir. İtiraz, İstanbul Anadolu Sulh Ceza Hâkimliğinin 13/12/2019 tarihli kararıyla kabul edilmiştir. Kararda, ticaret siciline kayıtlı yerin İstanbul/Acıbadem olduğu ve İstanbul Anadolu Adliyesi yetki sınırlarında bulunduğu kanaatiyle yetkisizlik kararının kaldırılarak esas hakkında karar verilmek üzere dosyanın İstanbul Anadolu Sulh Ceza Hâkimliğine gönderilmesine kesin olarak karar verilmiştir. Yetkisizlik kararı sonrası itirazı inceleyen İstanbul Anadolu Sulh Ceza Hâkimliği (Hâkimlik) 23/12/2019 tarihli kararı ile idari yaptırım kararına yapılan başvuruyu reddetmiştir. Kararın gerekçesi şöyledir:"... İdari yaptırım kararı ile ilgili düzenlenen tahkikat evrakı ve idari yaptırım kararı onaylı suretleri Hakimliğimizce celp edilmiş, evrak üzerinde yapılan incelemede; idarece düzenlenen tutanak ile eylemin sabit olduğu, sabit bulunan eylemin oluşturduğu kabahat nedeni ile hakkında idari yaptırım kararı düzenlenen idari yaptırımın yasa ve usule uygun olduğu anlaşılmakla itirazın reddine karar vermek gerekmiş[tir]...” Başvurucu, Hâkimliğin 23/12/2019 tarihli kararına itirazda bulunmuştur. İtiraz, İstanbul Anadolu Sulh Ceza Hâkimliğinin 9/1/2020 tarihli kararıyla kesin olarak reddedilmiştir. Kararın gerekçesi şöyledir:"... Her ne kadar itiraz eden vekili İstanbul Anadolu Sulh Ceza Hakimliği'nin 23/12/2019 tarih ve 2019/8868 d.iş sayılı kararına itiraz etmiş ise de; verilen kararda usule ve yasaya aykırılık bulunmadığı, verilen kararda değiştirilecek bir husus bulunmadığı anlaşılmakla itirazın reddine karar vermek gerekmiş aşağıdaki gibi hüküm kurulmuştur.1-İtiraz eden vekilinin İstanbul Anadolu Sulh Ceza Hakimliği'nin 23/12/2019 tarih ve 2019/8868 d.iş sayılı kararına yönelik İTİRAZININ REDDİNE,2-Kararın taraflara İstanbul Anadolu Sulh Ceza Hakimliğince tebliğine,3-Kararın ve dosyanın gereği için İstanbul Anadolu Sulh Ceza Hakimliğine gönderilmesine,Dair, dosya üzerinde yapılan inceleme sonucunda KESİN olarak karar verildi." Başvurucu, nihai karardan 21/1/2020 tarihinde haberdar olmuş; 19/2/2020 tarihinde bireysel başvuru yapmıştır. A. Ulusal Hukuk 6698 sayılı Kanun'un "Amaç" kenar başlıklı maddesi şöyledir:"(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." 6698 sayılı Kanun'un "Tanımlar" kenar başlıklı maddesinin ilgili kısmı şöyledir:...ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."... 6698 sayılı Kanun'un "Veri güvenliğine ilişkin yükümlülükler" kenar başlıklı maddesi şöyledir:"(1) Veri sorumlusu;a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,c) Kişisel verilerin muhafazasını sağlamak,amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. 6698 sayılı Kanun'un "Şikâyet üzerine veya resen incelemenin usul ve esasları" kenar başlıklı maddesinin ilgili kısmı şöyledir:"(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar....(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir...." 6698 sayılı Kanun'un "Kabahatler" kenar başlıklı maddesinin ilgili kısmı şöyledir:"...b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 000 Türk lirasından 000 Türk lirasına kadar, idari para cezası verilir."..." 4/12/2004 tarihli ve 5271 sayılı Ceza Muhakemesi Kanunu'nun "Kararların gerekçeli olması" kenar başlıklı maddesinin ilgili kısmı şöyledir:"(1) Hâkim ve mahkemelerin her türlü kararı, karşı oy dahil, gerekçeli olarak yazılır. Gerekçenin yazımında 230 uncu madde göz önünde bulundurulur. Kararların örneklerinde karşı oylar da gösterilir...." Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi 'nin "Veri Güvenliğine İlişkin Yükümlülükler" başlıklı maddesinin ilgili kısmı şöyledir:"Veri sorumlularının alması gereken teknik ve idari tedbirler konusunda veri sorumlularına rehberlik etmek amacıyla 'Kişisel Veri Güvenliği Rehberi' hazırlanmış olup bu rehbere, Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden 'Yayınlar' bölümündeki 'Rehberler' adımından ulaşılabilir. Ayrıca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir. ..." Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24/1/2019 tarihli ve 2019/10 sayılı kararının ilgili kısmı şöyledir: "i. Kanunun 12 nci maddesinin (5) numaralı fıkrasının 'İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir…' hükmünde yer alan 'en kısa sürede' ifadesinin 72 saat olarak yorumlanmasına,ii. Bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,iii. Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,...iv. Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına... [karar verilmiştir.]" 6698 sayılı Kanun uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlularının alması gereken teknik ve idari tedbirler Kişisel Veri Güvenliği Rehberi'nin teknik ve idari tedbirler tablosunda düzenlenmiştir. Bu tablonun kısmında teknik tedbirler, kısmında ise idari tedbirler gösterilmiştir. Ayrıca tablonun ilgili kısmı şöyledir:"Veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla alabilecekleri teknik ve idari tedbirleri gösteren tablolar aşağıda verilmiştir. Teknik ve idari tedbirler belirlenirken, kişisel verilerin niteliği ve muhafaza edildiği ortam göz önünde bulundurulur."B. Uluslararası Hukuk 18/2/2016 tarihli ve 29628 sayılı Resmî Gazete'de yayımlanan 30/1/2016 tarihli ve 6669 sayılı Kanun'la uygun bulunan 28/1/1981 tarihli Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin maddesinin birinci fıkrasının (a) bendi şöyledir:''Kişisel veriler: Kimliği belirli veya belirlenebilir bir gerçek kişi ('ilgili kişi') hakkındaki tüm bilgileri ifade eder." Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin "Verilerin Güvenliği" kenar başlıklı maddesinin ilgili kısmı şöyledir:"Otomatik dosyalara kaydedilen kişisel verileri korumak için, bunların kaza sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya bunların izinsiz olarak elde edilmesine, değiştirilmesine veya dağıtılmasına karşı uygun güvenlik önlemleri alınır." Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (GDPR) "Kişisel verilerin güvenliği" kenar başlıklı maddesi şöyledir:"İşleme güvenliği Kontrolör ve işleyici, son teknoloji, uygulama maliyetleri ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, uygun olduğu hallerde, aşağıdakiler de dahil olmak üzere uygun teknik ve düzenlemeye ilişkin tedbirler uygular:(a) kişisel verilerde takma ad kullanımı ve şifreleme;(b) işleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak sağlanabilmesi;(c) fiziksel veya teknik bir olay halinde, kişisel verilerin elverişliliği ve kişisel verilere erişimin vakitlice eski haline getirilebilmesi;(d) işleme faaliyetinin güvenliliğinin sağlanmasına yönelik olarak teknik ve düzenlemeye ilişkin tedbirlerin etkililiğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin süreç. Uygun güvenlik seviyesi değerlendirilirken, iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur. maddede atıfta bulunulan onaylı davranış kuralları veya maddede atıfta bulunulan onaylı belgelendirme mekanizmasına uygun hareket edilmesi bu maddenin paragrafında ortaya konan gerekliliklere uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir. Kontrolör ve işleyici kontrolör ya da işleyicinin yetkisi ile hareket eden ve kişisel verilere erişimi bulunan herhangi bir gerçek kişinin, Birlik ya da üye devlet hukuku çerçevesinde bu yönde hareket etmesinin gerekmemesi durumunda, kontrolörden aldığı talimatlar haricinde bu verileri işlememesini sağlamak üzere adımlar atar." Avrupa Birliği Genel Veri Koruma Tüzüğü'nün "Bir kişisel veri ihlalinin denetim makamına bildirilmesi" kenar başlıklı maddesi şöyledir:" Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması haricinde, kontrolör, gereksiz gecikmeye mahal vermeden ve, uygun olması halinde, ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini madde uyarınca yetkin denetim makamına bildirir.Denetim makamına yönelik bildirimin 72 saat içerisinde yapılmadığı hallerde, bu bildirimle birlikte gecikme sebeplerine de yer verilir. İşleyici, bir kişisel veri ihlalinden haberdar olduktan sonra, herhangi bir gecikmeye mahal vermeden, kontrolöre bildirimde bulunur. paragrafta atıfta bulunulan bildirimde en azından:(a) uygun olduğu hallerde, ilgili veri sahibi kategorileri ve yaklaşık sayısı ile ilgili kişisel veri kaydı kategorileri ve yaklaşık sayısı da dahil olmak üzere kişisel veri ihlalinin mahiyeti açıklanır;(b) veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgileri iletilir;(c) kişisel veri ihlalinin olası sonuçları açıklanır;(d) uygun olduğu hallerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere kişisel veri ihlalinin ele alınması için kontrolör tarafından alınan veya alınması önerilen tedbirler açıklanır. Bilgilerin aynı zamanda sağlanmasının mümkün olmadığı hallerde ve ölçüde, bilgiler gereksiz herhangi bir ek gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir. Kontrolör kişisel veri ihlallerini kişisel veri ihlaline ilişkin bilgiler, etkileri ve gerçekleştirilen düzeltici işlemi de kapsayacak şekilde belgelendirir. Bu belgelendirme denetim makamının bu maddeye uyumluluğu doğrulamasını sağlar. Avrupa Birliği Genel Veri Koruma Tüzüğü'nün "İdari para cezaları kesilmesine ilişkin genel koşullar" kenar başlıklı maddesi şöyledir:" Her denetim makamı bu Tüzük’e ilişkin olarak 4, 5 ve paragraflarda atıfta bulunulan ihlaller ile ilgili olarak bu madde uyarınca idari para cezaları kesilmesinin her münferit durumda etkili, ölçülü ve caydırıcı olmasını sağlar. İdari para cezaları, her münferit durumun özelliklerine dayalı olarak, 58(2) maddesinin (a) ila (h) ve (j) bentlerinde atıfta bulunulan tedbirlere ek olarak veya bu tedbirler yerine kesilir. Her münferit durumda bir idari para cezası kesilip kesilmeyeceğine karar verilirken ve idari para cezası meblağına karar verilirken, aşağıdaki hususlar dikkate alınır: (a) ilgili işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve süresinin yanı sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi;(b) ihlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması;(c) veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem;(d) 25 ve maddeler uyarınca kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi,(e) kontrolör veya işleyicinin geçmişte konuyla ilgili ihlalleri;(f) ihlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliği derecesi;(g) ihlalden etkilenen kişisel veri kategorileri;(h) kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak üzere, denetim makamının ihlalden haberdar edilme şekli;(i) 58 (2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum;(j) madde uyarınca onaylı davranış kurallarına veya madde uyarınca onaylı belgelendirme mekanizmalarına uygun hareket edilmesi;(k) ihlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler." Konuya ilişkin Avrupa İnsan Hakları Mahkemesi kararları için bkz. Kamil Darbaz ve GMO Yapı Grup End. San. Tic. Ltd. Şti., B. No: 2015/12563, 24/5/2018, §§ 32-38)