Avrupa Birliği Adalet Divanı (CJEU), büyük teknoloji şirketlerinin ve çevrimiçi platformların denetimini genişletmesi muhtemel bir hareketle, ulusal anti-tröst makamlarının bu tür kuruluşların AB Genel Veri Koruma Yönetmeliği’ne uygun olarak faaliyet gösterip göstermediğini inceleyebileceğine karar verdi. Yönetmelik (GDPR) ve Meta’nın hedefli reklamcılık için tüm yasal dayanağına potansiyel olarak ölümcül bir darbe indirdi.
Karar, yetkilerini Facebook, Instagram ve WhatsApp operatörü Meta’nın geçmişte Alman kullanıcıların verilerini nasıl ele aldığına ilişkin endişeleri gidermek için kullanan Almanya’nın anti-tröst kurumu Bundeskartellamt’ı haklı çıkarıyor. Bu daha önce, Meta’nın hakim pazar konumunu kötüye kullandığı gerekçesiyle kullanıcının izni olmadan bu verileri toplamayı durdurması gerektiğine dair bir kararla sonuçlanmıştı.
Yakında Threads adlı bir Twitter rakibini piyasaya sürmeye hazırlanan Meta, bu eyleme itiraz ederek davaya yol açtı.
ABAD kararında şunları belirtmiştir: “Bir teşebbüsün hakim durumunu kötüye kullanmasının incelenmesi bağlamında, ilgili üye devletin rekabet otoritesinin, teşebbüsün davranışının diğer kurallara uygun olup olmadığını da incelemesi gerekebilir. GDPR tarafından belirlenen kurallar gibi rekabet hukuku ile ilgili olanlardan daha fazla.”
Bununla birlikte, söz konusu makamın GDPR’nin ihlal edildiğini tespit etmesi durumunda bunun üye devletin ulusal veri koruma makamının (DPA) yetkisini geçersiz kılmadığını kaydetti.
ABAD ayrıca, Meta’nın ırk veya etnik köken, siyasi görüşler, dini inançlar, cinsiyet kimliği ve cinsel yönelim gibi özelliklerle ilgili (işlenmesi prensipte GDPR tarafından yasaklanan) özel kategorideki verileri işlemesiyle birlikte – ulusal mahkemeler, toplanan verilerin bir Meta ürünü kullanıcısıyla ilgili olsun ya da olmasın, bu bilgilerin ifşa edilmesine izin verip vermeyeceğini belirleyebilir.
Bu tür verilerin işlenmesine istisnai olarak izin verilip verilmediği konusunda, çünkü veri sahibi bu bilgileri “açıkça” kamuya açıklamıştır, ABAD ayrıca birisinin bu tür bilgileri ifşa eden web sitelerini veya uygulamaları kullanmasının, bu bilgileri ifşa ettikleri anlamına gelmediğini açıklığa kavuşturmuştur. GDPR kapsamında halka açık. Mahkeme, verilerini kamuya açık hale getirmeyi önceden açıkça kabul etmedikçe, bir web sitesine bilgi girdiklerinde de aynı durumun geçerli olduğunu söyledi.
Hedeflenen reklamlar gerekçelendirilemez
Meta tarafından hedefli reklamcılık için kullanılan hassas olmayan verilerin işlenmesiyle ilgili olarak ABAD, bunun GDPR’de izin alınmadan verilerin işlenmesine izin veren gerekçeler tarafından kapsanıp kapsanmadığını değerlendirdi.
GDPR’nin 6(1)(b) maddesi, uygulamanın ancak verilerin işlenmemesi durumunda kullanıcı ile hizmet operatörü arasındaki sözleşmenin yerine getirilememesi koşuluyla gerekçelendirilebileceğini belirtmektedir.
Veri işleme için bu sözleşme gerekliliği genellikle daha dar bir şekilde anlaşılır. Örneğin, bir çevrimiçi perakendecinin müşterinin adresini bir kuryeye sağlamasına olanak tanır; bu, mağaza ile müşteri arasındaki sözleşmenin hükümleri uyarınca veri işlemenin açıkça gerekli olduğudur.
Meta, hedefli reklamcılığın kullanıcılarına sözleşmeye bağlı olarak borçlu olduğu hizmetin bir parçası olduğunu iddia ederek, hedefli reklamcılık için veri işlemenin ana gerekçesi olarak Madde 6(1)(b)’ye dayanmıştır – bu, koşullarındaki bir değişikliğin parçası olarak getirdiği bir maddedir. 25 Mayıs 2018’de gece yarısı, yani GDPR’nin ilk yürürlüğe girdiği andan itibaren yapılan hizmet (ToS).
Avusturya merkezli veri koruma kampanya grubu NOYB’nin kurucusu Max Schrems, Meta’nın sözleşmeye “rastgele öğeler ekleyebileceği” görüşünü benimsemiş göründüğünü savundu; veya onay seçeneği yok.
“Kişiselleştirilmiş reklamlar için ‘evet/hayır’ seçeneğine sahip olmak yerine, şartlar ve koşullardaki izin maddesini değiştirdiler. Bu sadece haksız değil, aynı zamanda açıkça yasa dışıdır. Schrems, GDPR’yi bu kadar kibirli bir şekilde görmezden gelmeye çalışan başka bir şirketin farkında değiliz” dedi.
ABAD, uygulamada, kişiselleştirilmiş içerik sunup sunmadığı veya Meta’nın hizmetlerinin tutarlı ve sorunsuz kullanımının Madde 6(1)(b) ile uyumlu olup olmadığı konusunda ciddi şüpheler olduğunu söyledi.
Meta’nın Madde 6(1)(b)’ye dayanması daha önce Ocak 2023’te Avrupa Veri Koruma Kurulu (EDPB) tarafından karara bağlanmıştı. veri işleme için ilgi alanları.
Ancak ABAD, kişiselleştirilmiş, hedefli reklamcılığın, kullanıcının rızası olmadan kullanıcı verilerinin işlenmesini de meşru bir menfaat olarak haklı çıkaramayacağını belirterek, buna da son verdi.
Schrems, ABAD’ın belirli durumlarda meşru çıkarların var olabileceğine karar vermemesine rağmen, kararın, kontrolörler reklam sağlarken bu tür çıkarların bir kullanıcının haklarını geçersiz kılamayacağını açıklığa kavuşturduğunu açıkladı. Bu, dedi, öyle görünüyor ki, AB’de faaliyet gösteren hiçbir veri denetleyicisi artık özgürce verilen rıza dışında herhangi bir şeye dayalı hedefli reklamlar yayınlayamaz.
Schrems, nihayetinde Meta’nın, tümü ABAD’ın kararında kapsanan, GDPR’nin 6(1) Maddesi kapsamında yer alan veri işlemeye yönelik altı yasal dayanaktan beşini kullanarak GDPR’yi atlamaya çalıştığını açıkladı.
“Bu, Meta için olduğu kadar diğer çevrimiçi reklam şirketleri için de büyük bir darbe. Sektörün GDPR’yi atlamak için çeşitli yasal teorilerinin geçersiz olduğunu açıklığa kavuşturuyor” dedi.
ABAD’ın genel kararını memnuniyetle karşıladı ve Meta’nın yasal belgelerindeki paragrafları istediği gibi değiştirerek GDPR’yi atlayamayacağını açıklığa kavuşturduğunu söyledi.
“Bu, Meta’nın uygun rızayı araması gerektiği ve baskın konumunu insanları istemedikleri şeyleri kabul etmeye zorlamak için kullanamayacağı anlamına gelir. Bunun, İrlanda’da NOYB ile Meta arasında sürmekte olan dava üzerinde de olumlu bir etkisi olacaktır” dedi.
Computer Weekly, Meta’nın kararı değerlendirdiğini ve zamanı geldiğinde söyleyecek daha çok şeyi olacağını anlıyor. Yazım sırasında bir yorum talebine yanıt vermemişti.
AK, sınır ötesi GDPR davalarını güçlendirmek için yeni kurallar kabul edecek
Aynı zamanda, Avrupa Komisyonu (AK) bugün, sınır ötesi GDPR vakalarıyla ilgilenirken üye devlet veri koruma yetkilileri (DPA’lar) arasındaki işbirliğini kolaylaştıracağını söylediği yeni bir yasa önerdi.
Teklifler arasında, anlaşmazlıkların kapsamını azaltmak ve fikir birliği oluşturmaya olanak sağlamak için AB’deki muadilleri için kilit konuları özetlemek için bir soruşturmada lider DPA’nın yükümlülüğü yer alıyor.
Bireysel AB vatandaşları için teklifler, GDPR kapsamında ulusal DPA’larına şikayette bulunurken ne yapmaları gerektiğini ve bir soruşturma sırasında haklarına açıklık getirecek ve umarız davalara daha hızlı çözüm ve herkes için daha fazla yasal kesinlik getirecektir.
“Beş yıl önce, dünyanın en iddialı ve yenilikçi veri koruma yasası yürürlüğe girdi. Beş yıl sonra GDPR, AB’de küresel standartlara ilham veren bir dönüm noktası mevzuatı haline geldi. AK’nin adaletten sorumlu komiseri Didier Reynders, GDPR’nin uygulanmasının işe yaradığı açık, ancak sınır ötesi davalardaki prosedürler hâlâ geliştirilebilir” dedi.
“Bugün, davaların daha hızlı ve daha verimli bir şekilde ele alınması için daha iyisini yapabileceğimizi göstermek için bu teklifle öne çıktık. Avrupa Veri Koruma Kurulu, veri koruma yetkilileri, sivil toplum ve endüstrinin seslerini dinledik. Teklifimiz, Avrupalıların mahremiyet hakkını daha iyi korumak, işletmelere yasal kesinlik sağlamak ve sahada veri koruma yetkilileri arasındaki işbirliğini kolaylaştırmak için onların çağrılarına cevap veriyor ve kendi bulgularımıza dayanıyor.”