Amazon GDPR Cezası İptal Edildi!

Avrupa’nın en büyük GDPR cezalarından biri iptal edildi. Ancak Amazon için süreç bitmiş değil; dosya yeniden inceleniyor. 

Avrupa veri koruma tarihinde önemli bir dönüm noktası olarak kabul edilen bir karar, 2026 yılında yeniden gündeme geldi. Lüksemburg Temyiz Mahkemesi, Amazon hakkında 2021 yılında verilen 746 milyon euroluk GDPR cezasını iptal etti. Ancak bu karar, davanın tamamen kapandığı anlamına gelmiyor. 

Mahkeme, dosyayı doğrudan düşürmek yerine, yeniden değerlendirilmek üzere CNPD’ye (Lüksemburg Veri Koruma Otoritesi) geri gönderdi. Bu durum, sürecin teknik ve hukuki açıdan hâlâ devam ettiğini gösteriyor. 

Mahkemenin Tespit Ettiği Kritik Eksikler 

Mahkeme kararında özellikle iki önemli eksikliğe dikkat çekildi: 

İlk olarak, CNPD’nin Amazon’un veri ihlalini kasıtlı mı yoksa ihmal sonucu mu gerçekleştirdiğini yeterince analiz etmediği belirtildi. Bu ayrım, GDPR kapsamında uygulanacak yaptırımın ağırlığını doğrudan etkileyen kritik bir unsurdur. 

İkinci olarak ise, bu kadar yüksek bir para cezası yerine daha hafif yaptırımların uygulanıp uygulanamayacağının değerlendirilmediği ifade edildi. Bu durum, cezanın orantılılığı açısından ciddi bir eksiklik olarak değerlendirildi. 

Bu gerekçeler doğrultusunda mahkeme, verilen cezayı tamamen iptal etti. Ancak burada önemli bir detay var: GDPR ihlalinin varlığı tamamen reddedilmedi. Yani ihlal ihtimali hâlâ masada. 

Sürecin Arka Planı 

Davanın temelinde, Fransa merkezli dijital haklar örgütü La Quadrature du Net tarafından yapılan bir şikayet yer alıyor. Bu şikayet, 10 binden fazla kullanıcı adına yapılmıştı. 

İddialara göre Amazon, kullanıcı verilerini kişiselleştirilmiş reklamlar için açık rıza almadan işledi. Bu durum, GDPR’ın en kritik ilkelerinden biri olan “açık rıza” ilkesinin ihlali anlamına geliyor. 

Amazon’un Avrupa merkezinin Lüksemburg’da bulunması nedeniyle soruşturmayı CNPD yürüttü. 2021 yılında verilen 746 milyon euroluk ceza, o dönemde GDPR kapsamında kesilen en yüksek cezalardan biri olarak kayıtlara geçti. 

Amazon bu karara itiraz etti ve süreç yıllar boyunca devam etti. 2025 yılında alt mahkeme CNPD’yi haklı bulsa da, 2026 yılında üst mahkeme devreye girerek kararı iptal etti. 

Amazon ve CNPD Açıklamaları 

Kararın ardından Amazon, müşteri gizliliğinin en önemli önceliklerinden biri olduğunu ve yeni hizmetler geliştirirken düzenleyici kurumlarla birlikte çalıştıklarını açıkladı. 

CNPD ise mahkeme kararının kendi yaklaşımını büyük ölçüde doğruladığını belirtti. Ayrıca bu süreç sayesinde Amazon’un veri işleme uygulamalarının GDPR ile daha uyumlu hale getirildiğini ifade etti. 

Bu açıklamalar, taraflar arasında tamamen zıt bir durumdan ziyade, sürecin iyileştirici bir regülasyon etkisi yarattığını da ortaya koyuyor. 

Bu Karar Neden Önemli? 

Bu karar, yalnızca Amazon özelinde değil, tüm şirketler için önemli mesajlar içeriyor: 

• GDPR cezaları her zaman nihai değildir, hukuki süreçle değişebilir.  
• Ceza miktarları belirlenirken orantılılık ve niyet analizi kritik rol oynar.  
• Veri ihlali tamamen ortadan kalkmasa bile, yaptırım şekli değişebilir.
• Regülasyon süreçleri şirketleri uyum konusunda dönüştürücü etki yaratabilir.  

Bu durum, özellikle veri odaklı çalışan şirketler için önemli bir ders niteliği taşıyor. 

Amazon’a verilen rekor GDPR cezası iptal edilmiş olsa da süreç henüz tamamlanmış değil. Dosya yeniden incelenecek ve yeni bir karar verilecek. 

Bu gelişme, veri koruma hukukunda “ceza değil süreç yönetimi” yaklaşımının ne kadar kritik olduğunu bir kez daha gösteriyor. Şirketler için asıl risk, yalnızca ceza almak değil; süreçleri doğru yönetememektir.