Avrupa Genel Mahkemesi Çarşamba günü, Avrupa Birliği’nin üye devletler için yasalar önermek ve uygulamaktan sorumlu birincil yürütme kolu olan Avrupa Komisyonu’nu, bloğun kendi veri gizliliği düzenlemelerini ihlal ettiği gerekçesiyle para cezasına çarptırdı.
Bu gelişme, Komisyonun bölgedeki katı veri koruma yasalarını ihlal etmekten ilk kez sorumlu tutulduğu anlamına geliyor.
Mahkeme, bir Alman vatandaşının IP adresi ve web tarayıcısı meta verileri de dahil olmak üzere kişisel verilerinin, şu anda aktif olmayan Futureu.europa adresini ziyaret ederken Meta’nın Amerika Birleşik Devletleri’ndeki sunucularına aktarılmasıyla “yeterince ciddi bir ihlalin” işlendiğine karar verdi.[.]AB web sitesi Mart 2022’de.
Kişi, Facebook hesabı kullanarak oturum açma seçeneğini de içeren Komisyon’un oturum açma hizmetini kullanarak sitedeki etkinliklerden birine kaydoldu.
Avrupa Birliği Adalet Divanı, “AB Giriş web sayfasında görüntülenen ‘Facebook ile Giriş Yap’ hiper bağlantısı aracılığıyla, Komisyon, ilgili kişinin IP adresinin ABD’nin üstlendiği Meta Platformlara iletilmesine ilişkin koşulları oluşturdu.” bir basın açıklamasında söyledi.
Başvurucu, bilgilerinin ABD’ye aktarılmasının, kişisel verilerine ABD güvenlik ve istihbarat servisleri tarafından erişilmesi riskinin ortaya çıktığını iddia etmiştir.
Ancak verilerin ABD’deki Amazon CloudFront sunucularına da aktarıldığı yönündeki suçlamalar, bilgilerin Almanya’nın Münih kentinde bulunan bir sunucuda barındırıldığının belirlenmesinin ardından reddedildi. Söz konusu web sitesi Amazon’un içerik dağıtım ağını (CDN) kullanıyordu.
Mahkeme, “30 Mart 2022’deki bu aktarım sırasında, ABD’nin AB vatandaşlarının kişisel verileri için yeterli düzeyde koruma sağladığına dair herhangi bir Komisyon kararı yoktu” dedi. “Ayrıca, Komisyon, özellikle standart bir veri koruma maddesi veya sözleşme maddesi olmak üzere uygun bir korumanın bulunduğunu ne göstermiş ne de iddia etmiştir.”
Genel Mahkeme, bunun, 2018/1725 sayılı Yönetmeliğin 46. maddesi uyarınca kişisel verilerin bir AB kurumu, organı, ofisi veya ajansı tarafından üçüncü bir ülkeye aktarılmasıyla ilgili yasaların ihlali anlamına geldiğini söyledi.
Sonuç olarak mahkeme, Komisyon’un, veri aktarımı sonucunda maruz kaldıklarını iddia ettikleri maddi olmayan zararın tazmini olarak talep ettiği kişiye 400 € (412 $) ödemesine karar verdi.