En Yüksek 20 GDPR Cezası: Avrupa'da Verilen Rekor Yaptırımlar (2026)

Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026

TL;DR — Bu Yazının Özeti

• GDPR'ın yürürlüğe girdiği 2018'den bu yana toplam ceza tutarı 5,88 milyar Euro'yu aştı.

• En yüksek tek ceza, Meta'ya 1,2 milyar Euro ile İrlanda Veri Koruma Komisyonu (DPC) tarafından 2023'te verildi.

• En çok ceza alan şirket Meta — yalnızca üst 20 listede 6 farklı dosyayla yer alıyor.

• En aktif denetim otoritesi İrlanda DPC; üst 5 cezadan 4'ü bu kurumdan.

• Veri transferi, çocuk verisinin işlenmesi ve geçersiz rıza en sık ihlal kategorileri.

Bu Yazıda Ne Var?

Bu yazıda GDPR yürürlüğe girdiğinden bu yana verilen en yüksek 20 idari para cezasını sıralı olarak ele alıyoruz. Her ceza için resmi otorite kaynağı ya da en güvenilir haber kaynağı bağlantısı eklenmiştir. Ayrıca cezaların ortak özellikleri, en sık karşılaşılan ihlal türleri ve Türk şirketlerinin bu kararlardan çıkarması gereken pratik dersleri inceliyoruz.

GDPR Cezaları Hangi Boyutlara Ulaştı?

Avrupa Birliği'nin 2018'de yürürlüğe koyduğu Genel Veri Koruma Tüzüğü (GDPR), veri koruma alanında dünya ölçeğinde bir referans haline geldi. CMS Enforcement Tracker verilerine göre 1 Mart 2025 tarihi itibarıyla toplam 2.245 adet ceza kararı verilmiş ve toplam tutar 5,65 milyar Euro'yu aşmıştır. Ortalama ceza tutarı ise yaklaşık 2,36 milyon Euro seviyesindedir.

GDPR (Genel Veri Koruma Tüzüğü) nedir? Avrupa Birliği'nde 25 Mayıs 2018'den itibaren yürürlükte olan, AB vatandaşlarının kişisel verilerinin nasıl işleneceğini düzenleyen bağlayıcı bir tüzüktür. AB'de yerleşik olmayan ancak AB vatandaşlarına hizmet sunan şirketleri de kapsar.

En Yüksek 20 GDPR Cezası Tablosu

En Yüksek 20 Cezanın Detayları ve Kaynakları

1. Meta — €1,2 Milyar (Mayıs 2023)

İrlanda Veri Koruma Komisyonu (DPC), Meta'ya AB-ABD veri transferinde Schrems II kararına aykırı davranması nedeniyle GDPR tarihinin en yüksek cezasını kesti. Karar, Avrupa Veri Koruma Kurulu'nun (EDPB) 13 Nisan 2023 tarihli bağlayıcı kararına dayanmaktadır.

Resmi kaynak: İrlanda DPC Resmi Açıklaması | EDPB Resmi Açıklaması

2. Amazon — €746 Milyon (Temmuz 2021)

Lüksemburg Ulusal Veri Koruma Komisyonu (CNDP), Amazon'un reklam hedefleme sisteminde geçerli rıza almadığı gerekçesiyle bu cezayı kesti. Soruşturma, La Quadrature du Net aracılığıyla 10.000 kişinin yaptığı toplu şikayetle başladı.

Kaynak: Reuters Haberi

3. Meta (Instagram) — €405 Milyon (Eylül 2022)

İrlanda DPC, 13-17 yaş arası çocukların Instagram iş hesaplarında iletişim bilgilerinin varsayılan olarak herkese açık görüntülenmesini GDPR ihlali olarak değerlendirdi.

Resmi kaynak: İrlanda DPC Karar Sayfası

4. Meta — €390 Milyon (Ocak 2023)

DPC, Meta'nın Facebook ve Instagram için kullandığı "sözleşme" hukuki dayanağının davranışsal reklamcılık için geçersiz olduğuna karar verdi. Meta, GDPR yürürlüğe girmeden hemen önce kullanım koşullarını değiştirerek kullanıcıları rıza vermeye dolaylı olarak zorlamıştı.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

5. TikTok — €345 Milyon (Eylül 2023)

İrlanda DPC, TikTok'un 13-17 yaş kullanıcıların hesaplarını varsayılan olarak herkese açık tutması, yaş doğrulama mekanizmalarının yetersiz olması ve çocuklara yönelik şeffaflık eksiklikleri nedeniyle bu cezayı kesti.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

6. LinkedIn — €310 Milyon (Ekim 2024)

İrlanda DPC, LinkedIn'in kullanıcı verilerini davranışsal analiz ve hedefli reklam amacıyla yetersiz hukuki dayanakla işlediğine karar verdi. Soruşturma, La Quadrature du Net şikayetiyle başladı.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

7. Uber — €290 Milyon (Ağustos 2024)

Hollanda Veri Koruma Otoritesi (AP), Uber'in AB sürücülerinin kişisel verilerini yeterli güvence olmadan ABD'ye aktardığı gerekçesiyle bu cezayı kesti. Soruşturma, 170'ten fazla Fransız Uber sürücüsünün şikayetiyle başladı.

Resmi kaynak: Hollanda AP Resmi Açıklaması

8. Meta — €265 Milyon (Kasım 2022)

DPC, 2021 yılında 533 milyon Facebook kullanıcısının verilerinin bir hacker forumunda paylaşılması olayını inceledi. Meta'nın yeterli teknik ve organizasyonel önlem almadığına karar verildi.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

9. Meta — €251 Milyon (Aralık 2024)

DPC, Meta'nın 2018 yılında yaşanan ve 29 milyon Facebook kullanıcısını etkileyen veri ihlali için bu cezayı kesti. İhlal, "Profilini Gör" özelliğindeki güvenlik açığından kaynaklanmıştı.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

10. WhatsApp — €225 Milyon (Eylül 2021)

DPC, WhatsApp'ın gizlilik politikasında şeffaflık yükümlülüğünü ihlal ettiğine karar verdi. Karar, EDPB'nin müdahalesi sonrası başlangıçta önerilen tutardan yükseltildi.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

11. Meta — €91 Milyon (Eylül 2024)

DPC, Meta'nın 2019 yılında milyonlarca kullanıcının şifresini düz metin (şifrelenmemiş) olarak iç sistemlerinde sakladığı için bu cezayı kesti.

Resmi kaynak: İrlanda DPC Resmi Açıklaması

12. Google LLC — €90 Milyon (Aralık 2021)

CNIL, Google'ın YouTube kullanıcılarının çerezleri reddetmesini, kabul etmek kadar kolay yapmadığına karar verdi.

Resmi kaynak: CNIL Resmi Açıklaması

13. Enel Energia — €79 Milyon (Şubat 2024)

İtalya Veri Koruma Otoritesi (Garante), Enel Energia'nın hukuka aykırı müşteri listeleriyle 978 sözleşme elde ettiği ve müşteri yönetim sisteminde yeterli güvenlik önlemi almadığı için bu cezayı kesti.

Resmi kaynak: Garante Resmi Açıklaması

14. Google Ireland — €60 Milyon (Aralık 2021)

CNIL'in aynı gün Google LLC'ye verdiği €90 milyonluk cezayla aynı gerekçeye dayanır; bu kez google.fr arama sitesi için verilmiştir.

Resmi kaynak: CNIL Resmi Açıklaması

15. Facebook (Meta) — €60 Milyon (Aralık 2021)

CNIL, Facebook'un kullanıcılara çerezleri reddetme imkânını yeterince kolay sağlamadığı, "reddet" butonunu sayfanın altına gizlediği ve "çerez kabul et" olarak yanıltıcı biçimde etiketlediği için bu cezayı kesti.

Resmi kaynak: CNIL Resmi Açıklaması

16. Google — €50 Milyon (Ocak 2019)

CNIL'in GDPR kapsamında verdiği ilk büyük ceza. Google'ın gizlilik politikasında şeffaflık eksikliği ve kişiselleştirilmiş reklamlar için geçerli rıza alınmaması gerekçe gösterildi. Karar 2020 yılında Conseil d'État tarafından onandı.

Resmi kaynak: CNIL Resmi Açıklaması | Karar metni (PDF)

17. CRITEO — €40 Milyon (Haziran 2023)

CNIL, online reklam şirketi CRITEO'nun davranışsal reklamcılık (retargeting) için kullanıcılardan geçerli rıza almadığına ve şeffaflık yükümlülüklerini ihlal ettiğine karar verdi.

Resmi kaynak: CNIL Resmi Açıklaması

18. H&M — €35,3 Milyon (Ekim 2020)

Hamburg Veri Koruma Komiseri (BfDI), H&M'in çalışanlarının sağlık durumu, aile sorunları ve dini inançları gibi özel verileri sistematik biçimde topladığı ve istihdam kararlarında kullandığı için bu cezayı kesti.

Resmi kaynak: Hamburg BfDI Açıklaması (Almanca)

19. Amazon France Logistique — €32 Milyon (Ocak 2024)

CNIL, Amazon Fransa'nın depolarda çalışanları el tarayıcılarıyla aşırı ayrıntılı izlediği, tarayıcı hareketsizliği ve hızlı tarama gibi göstergelerle çalışan performansını orantısız biçimde takip ettiği için bu cezayı kesti.

Resmi kaynak: CNIL Resmi Açıklaması

20. Clearview AI — €30,5 Milyon (Eylül 2024)

Hollanda Veri Koruma Otoritesi, Amerikalı şirketin internet üzerinden milyarlarca yüz görüntüsünü rıza almadan toplayarak yasadışı bir biyometrik veritabanı oluşturduğu için bu cezayı kesti. AP ayrıca şirket yöneticilerinin kişisel sorumluluğunu da değerlendirme kararı aldı.

Resmi kaynak: Hollanda AP Resmi Açıklaması

Cezaların Ortak Özellikleri Neler?

20 ceza kararı incelendiğinde belirgin örüntüler ortaya çıkıyor.

En Çok Ceza Alan Şirket: Meta

Meta, alt şirketleri (Instagram, WhatsApp dahil) ile birlikte üst 20 listede 6 farklı dosyayla yer alıyor. Tek başına Meta'ya kesilen cezaların toplamı 2,4 milyar Euro'yu aşmaktadır.

En Aktif Otorite: İrlanda DPC

Üst 10 cezadan 8'i İrlanda Veri Koruma Komisyonu tarafından verildi. Bunun temel nedeni, büyük teknoloji şirketlerinin Avrupa merkezlerinin genellikle İrlanda'da bulunması ve "tek durak" (one-stop-shop) prensibi gereği denetim yetkisinin DPC'ye geçmesidir.

En Sık İhlal Kategorileri

İhlallerin büyük çoğunluğu üç temel başlık altında toplanıyor: AB dışına veri transferi, çocuk verisinin işlenmesi ve geçersiz rıza ya da hukuki dayanak. Çerez yönetimi ve davranışsal reklamcılık da öne çıkan ihlal alanları arasında.

En Sık Karşılaşılan GDPR İhlalleri

Yetersiz Hukuki Dayanak

GDPR'ın 6. maddesi, kişisel veri işleme için altı geçerli hukuki dayanak (rıza, sözleşme, hukuki yükümlülük, hayati menfaatler, kamu menfaati, meşru menfaat) tanımlar. Şirketlerin en sık yaptığı hata, bu dayanaklardan yanlış olanı seçmek ya da rıza almadan veri işlemeye devam etmektir.

Sınır Ötesi Veri Transferinde Yetersiz Güvence

Schrems II kararı (2020) sonrası AB-ABD veri transferleri için ek güvenceler zorunlu hale geldi. Bu güvenceleri sağlamadan yapılan transferler, üst 20 listedeki cezaların önemli bir kısmının kaynağıdır.

Çocuk Verisinin Hatalı İşlenmesi

GDPR, 16 yaş altı çocukların verilerinin işlenmesi için ebeveyn rızası şartı koyar (üye devletler bu yaşı 13'e kadar düşürebilir). Çocuk kullanıcılara yönelik hizmetlerde varsayılan ayarların gizliliği koruyacak şekilde yapılandırılmaması ciddi yaptırımlara yol açıyor.

Çerez Yönetimi ve Şeffaflık

Kullanıcıların çerezleri reddetmesini kabul etmek kadar kolay hale getirmemek, Fransız CNIL'in özellikle hassas olduğu konulardan biri. Google ve Facebook bu nedenle ayrı ayrı toplam 210 milyon Euro ceza ödedi.

Çalışan İzleme ve Profilleme

H&M ve Amazon France Logistique kararları, çalışanların performans, sağlık veya özel hayatına ilişkin verilerin orantısız biçimde toplanmasının ne denli ağır yaptırımlara konu olabileceğini gösterdi.

Türk Şirketleri İçin Çıkarımlar

GDPR yalnızca AB sınırları içinde faaliyet gösteren şirketleri değil, AB vatandaşlarına hizmet sunan ya da onların verilerini işleyen tüm şirketleri kapsar. Bu durum, AB pazarına yönelik faaliyet gösteren Türk şirketlerini doğrudan ilgilendirmektedir.

E-ticaret, turizm, yazılım, dijital pazarlama ve eğitim sektörlerinde AB kullanıcılarına hizmet sunan Türk firmalarının GDPR uyum süreçlerini titizlikle yürütmesi kritik önemde. Aynı zamanda Türkiye'deki KVKK Kurulu, son yıllarda GDPR ile uyumlu içtihatlar geliştirme eğilimindedir; bu nedenle GDPR kararları, Türkiye'deki olası KVKK incelemeleri için de güçlü bir referans noktası oluşturuyor.

Sık Sorulan Sorular

En yüksek GDPR cezası hangi şirkete verildi?

Meta, Mayıs 2023'te İrlanda DPC tarafından 1,2 milyar Euro ile cezalandırıldı. Bu, GDPR tarihindeki en yüksek tek cezadır.

GDPR'da maksimum ceza tutarı nedir?

GDPR'a göre idari para cezaları, ihlalin türüne göre 20 milyon Euro veya şirketin küresel yıllık cirosunun %4'ü (hangisi yüksekse) seviyesine kadar çıkabilir.

GDPR cezalarına itiraz edilebilir mi?

Evet. Cezaya muhatap olan şirket, ulusal veri koruma otoritesinin kararına karşı ilgili ülkenin idari yargısına başvurabilir. Meta, Amazon ve Google gibi büyük şirketlerin pek çok cezaya itiraz ettiği bilinmektedir.

Türkiye'de KVKK cezaları GDPR ile karşılaştırılabilir mi?

Tutar olarak hayır. Türkiye'de en yüksek KVKK cezaları milyonlarca lira düzeyindeyken, GDPR cezaları milyonlarca hatta milyarlarca Euro'yu bulmaktadır. Ancak hukuki çerçeve ve denetim mantığı büyük ölçüde benzerlik göstermektedir.

Okuyucular Bunları da Soruyor

GDPR Türk şirketleri için zorunlu mu?

Eğer şirketiniz AB'de yerleşik kullanıcılara mal veya hizmet sunuyorsa veya AB vatandaşlarının davranışlarını izliyorsa, fiziksel olarak Türkiye'de bulunsanız bile GDPR'a uymak zorundasınız. Bu durum özellikle e-ticaret, SaaS ve dijital pazarlama şirketleri için kritik önemdedir.

GDPR cezalarından korunmanın en etkili yolu nedir?

Üst 20 cezanın büyük bölümünün ortak noktası: ihlal anında değil, ihlalin yıllar süren sistematik biçimde gerçekleşmesi. Bu nedenle proaktif uyum süreci — veri envanteri, etki değerlendirmesi (DPIA), şeffaf rıza mekanizmaları ve düzenli denetim — en etkili koruma yöntemidir.

KVKK ile GDPR arasındaki en büyük fark nedir?

İki düzenleme büyük ölçüde benzer prensiplere dayanır. Ancak GDPR'ın yaptırım kapasitesi (cironun %4'üne kadar ceza) KVKK'dan çok daha yüksektir. Ayrıca GDPR, veri koruma görevlisi (DPO) atamasını belirli durumlarda zorunlu kılarken, KVKK'da bu zorunluluk yoktur.

Sonuç

GDPR cezaları her geçen yıl hem sayı hem de tutar olarak büyümeye devam ediyor. Avrupa veri koruma otoriteleri özellikle 2024 ve 2025 yıllarında büyük teknoloji şirketleri dışındaki sektörlere de mercek tutmaya başladı. Bu eğilim, AB pazarında faaliyet gösteren her ölçekteki şirketin GDPR uyumunu artık ertelenebilir bir konu olarak görmemesi gerektiğini açıkça ortaya koyuyor.

Şirketinizin GDPR ve KVKK uyum süreçlerini değerlendirmek için Güneş Partners ile iletişime geçebilirsiniz.

Bu İçerik Hakkında

Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, Avrupa Veri Koruma Otoritelerinin resmi kararları, EDPB ve CMS Enforcement Tracker veritabanı temelinde hazırlanmıştır. GDPR ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.