Brüksel Temyiz Mahkemesi, 14 Mayıs 2025’te Google, Microsoft, Amazon ve X (eski adıyla Twitter) gibi büyük teknoloji şirketleri tarafından izleme tabanlı reklamlarda kullanılan onay modelinin, Genel Veri Koruma Yönetmeliği (GDPR) dahil olmak üzere AB gizlilik yasalarına uymadığına karar verdi.
Çevrimiçi reklamcılıkta gerçek zamanlı teklif (RTB) için kullanılan şeffaflık ve rıza çerçevesini (TCF) hedefleyen karar, Avrupa Birliği’nin gözetim temelli reklamcılığa karşı devam eden mücadelesinde önemli bir adım atıyor.
İzleme tabanlı reklamların etkileri
Vaka, izleme tabanlı reklamcılıkta kullanılan yöntemlere, özellikle de gerçek zamanlı teklif verme (RTB) sistemleri kullanan yöntemlere odaklanmıştır. RTB, reklamverenlerin kişisel verilere göre kullanıcılara reklam görüntülemek için gerçek zamanlı olarak teklif vermelerine olanak tanır. Bir kullanıcı bir web sitesini her ziyaret ettiğinde, konum, tarama alışkanlıkları ve hatta inançlar veya sağlık koşulları gibi kişisel özellikler gibi bilgiler binlerce şirketle paylaşılabilir.
Büyük teknoloji şirketlerinin TCF’yi kullanarak GDPR’ye uygun olduğunu iddia etme çabalarına rağmen, mahkeme, bu çerçevenin, özellikle şeffaflık ve rıza açısından, düzenlemenin gereksinimlerinin altında kaldığına karar verdi. Temel mesele, mahkemeye göre, rıza ve veri koruma standartlarının karmaşıklıklarını yeterince ele almayan pop-up bildirimleri ile kullanıcı onamının nasıl elde edildiği konusunda yatmaktadır.
Arka plan: Yasal savaş
Karar, Etkileşimli Reklamcılık Bürosu Avrupa (IAB Avrupa) ile Belçika Veri Koruma Otoritesi (GBA) arasındaki bir davadan kaynaklanmaktadır. Dijital reklamcılık sektörünü temsil eden kar amacı gütmeyen bir kuruluş olan IAB Europe, RTB sistemleri aracılığıyla kişisel verileri işlerken işletmelerin gizlilik yasalarına uymasına yardımcı olmayı amaçlayan TCF’yi geliştirdi. TCF, kullanıcı tercihlerini toplar ve bunları “TC dizeleri” olarak bilinenlerde saklar ve bu da rızayı yönetmek için reklam platformlarıyla paylaşılır.
2022’de GBA, IAB Avrupa’ya karşı bir karar yayınladı ve TCF’nin özellikle kullanıcı rızasının şeffaflığı ve yasallığı konusunda çeşitli hükümleri ihlal ettiğini ileri sürdü. GBA, IAB Europe’a 250.000 € para cezası getirdi ve tanımlanabilir bireylerle bağlantılı olabilecek TC dizelerinin kişisel veriler olarak nitelendirildiğini savundu.
IAB Europe, tek başına TC dizelerinin kişisel veriler oluşturmadığını savunarak kararı temyiz etti, ancak Mahkeme GBA’nın pozisyonunu onamladı, TC dizelerinin IP adresleri gibi diğer tanımlayıcılarla birleştirildiğinde, gerçekten bireyleri tanımlayabileceğini ve GDPR kapsamında kişisel verileri yapabileceğini onayladı.
Kilit yasal sorular ve mahkemenin bulguları
Dava iki kritik yasal soruyu ortaya çıkardı: TC dizelerinin kişisel veri olarak sınıflandırılması ve IAB Avrupa’nın GDPR kapsamında bir veri denetleyicisi olarak kabul edilip edilmeyeceği. Avrupa Birliği Adalet Mahkemesi (CJEU), bireyleri doğrudan veya dolaylı olarak tanımlamak için kullanılabilecekleri için TC dizelerinin bir IP adresi gibi tanımlayıcılarla bağlantılı olduğunda kişisel veriler olarak nitelendirildiğine karar vermişti. Ayrıca CJEU, kişisel verilere doğrudan erişmeseler bile, kişisel verilerin işlendiğini etkileyen IAB Avrupa gibi kuruluşların GDPR kapsamında ortak denetleyiciler olarak kabul edildiğini açıkladı.
Brüksel Temyiz Mahkemesi, IAB Avrupa’nın itirazlarını reddetti ve TC dizelerinin gerçekten kişisel veriler oluşturduğunu onayladı. Mahkeme ayrıca, TCF’nin mimarı olarak IAB Avrupa’nın kişisel verilerin nasıl işlendiğini belirlemede önemli bir rol oynadığı ve böylece dijital reklam ekosistemindeki diğer katılımcılarla birlikte ortak bir veri denetleyicisi haline getirdiği sonucuna varmıştır.
GDPR’nin gizliliğin korunmasındaki rolü
2018 yılında yürürlüğe giren genel veri koruma düzenlemesi, kişisel verileri ve gizliliği korumak için tasarlanmış bir AB mevzuatı parçasıdır. Kullanıcı izni almak, şeffaflığı sağlamak ve veri işleme kapsamını sınırlamak için katı gereksinimler belirler. IAB Europe’a karşı karar, kişisel verilerin toplanmasına ve para kazanmasına büyük ölçüde dayanan gözetim tabanlı reklamcılığın veri gizliliği ilkeleriyle uyumsuz olduğu fikrini güçlendirmektedir.
Ayrıca, mahkemenin kararı, AB’nin gizlilik yasalarını uygulama ve şirketleri kullanıcıların gizlilik haklarının ihlallerinden sorumlu tutma taahhüdünü güçlendirmektedir. Karar ayrıca bilgilendirilmiş onamın önemini ve reklamverenlerin kişisel verilerin toplanması ve kullanımında daha etik, şeffaf uygulamalar benimseme ihtiyacını vurgulamaktadır.
Çözüm
Bu karar, dijital reklam ortamında dönüştürücü bir değişime işaret ediyor. AB, izleme tabanlı reklamlara ve gözetim tabanlı reklamcılığa karşı sıkı bir şekilde yükselirken, işletmelerin şeffaflık ve uyumluluk taleplerini karşılamak için daha fazla gizlilik bilincine uyum sağlaması gerekecektir.
Bu dava, gizliliği korumanın sadece yasal bir yükümlülük değil, günümüzün veriye dayalı dünyasında temel bir sorumluluk olduğunu vurgulamaktadır. Yasal yolculuk devam ettikçe, bu karar, etik ve şeffaf reklam uygulamalarının öncelikli olduğu bir geleceğin yolunu açar ve sadece Avrupa’da değil, küresel olarak daha güçlü gizlilik korumaları için umut sunar.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.