Bir veri sorumlusu, KVKK m.12 kapsamındaki 'veri güvenliğine ilişkin yükümlülüklerini' ihlal ederek bir veri sızıntısına neden olduğunda, Kişisel Verileri Koruma Kurulu'nun vereceği idari para cezasının miktarı neye göre belirlenir?

KVKK m.18/1-b'ye göre, veri güvenliği yükümlülüklerini yerine getirmeyen veri sorumluları hakkında 15.000 TL'den 1.000.000 TL'ye (yeniden değerleme oranları ile güncellenir) kadar idari para cezası verilir. Kurul, bu geniş aralık içinde somut cezayı belirlerken, 2019/10 sayılı ilke kararında açıkladığı kriterleri dikkate alır. Bu kriterler şunlardır: Veri sorumlusunun büyüklüğü (mali durumu, çalışan sayısı), ihlalin niteliği, ihlalden etkilenen kişi sayısı ve veri türleri (özel nitelikli veri içerip içermediği), ihlalin sonuçlarının ağırlığı, veri sorumlusunun ihlali önlemek için aldığı tedbirlerdeki kusurunun derecesi, ihlal gerçekleştikten sonra zararı azaltmak için gösterdiği çaba ve Kurul ile yaptığı iş birliği. Kurul, bu faktörleri bir bütün olarak değerlendirerek, 'orantılılık' ilkesi çerçevesinde somut para cezasını belirler.