İrlanda Veri Koruma Komisyonu, düzenleyicilerin Meta’nın kişiselleştirilmiş reklamlar sunmak için kullanıcılarıyla bir “sözleşmeye” bel bağlamasının Avrupa’nın Genel Veri Koruma Yönetmeliğini (GDPR) ihlal ettiğini tespit etmesinden sonra, şirkete Avrupa’nın veri koruma yasalarına uyması için üç ay süre verdi.
Karar, Avusturyalı avukat Max Schrems tarafından yönetilen kampanya grubu Noyb’in, Meta’nın rızayı hüküm ve koşullarının bir parçası haline getirerek GDPR’nin izin gerekliliklerini “atlamaya” çalıştığını iddia eden şikayetlerinin ardından geldi.
“Bu, Meta’nın AB’deki kârına büyük bir darbe” dedi.
Meta, Facebook ihlalleri için 210 milyon Euro ve Instagram ihlalleri için 180 milyon Euro para cezasıyla karşı karşıya. WhatsApp’a yönelik üçüncü bir şikayetin bu ay daha fazla para cezasına yol açması bekleniyor.
Facebook yaptığı açıklamada, DPC’nin kararına “kesinlikle katılmadığını” ve kararların içeriğine ve para cezalarına itiraz etmeyi planladığını söyledi.
“Hizmetlerimizin doğası göz önüne alındığında, Davranış için Sözleşme Gerekliliği reklamlarına güvenerek GDPR ile tamamen uyumlu olduğumuza inanıyoruz” dedi.
Avrupa Veri Koruma Kurulu müdahale etti
İrlanda’nın DPC’si, Avrupa Veri Koruma Kurulu’nun (EDPB), DPC’nin Meta’nın Avrupa’da kişisel verileri işlemek için Sözleşmesel Zorunluluğa dayanmasının GDPR ile uyumlu olduğu yönündeki bulgusunu bozmasının ardından Meta’ya karşı işlem başlatmak zorunda kaldı.
EDPB, 5 Aralık 2022 tarihli bağlayıcı bir kararda, Meta’nın verileri işlemek için yasal bir dayanak olarak bir sözleşmeyi kullanmasının, verilerin yasal olarak işlenmesini gerektiren GDPR’nin 6. Maddesini ihlal ettiğini tespit etti.
DPC’nin, EDPB tarafından tespit edilen ihlallerin daha ciddi doğasını yansıtmak için Facebook ve Meta’ya karşı önerilen para cezalarını önemli ölçüde artırması gerekiyordu.
Meta Ireland, GDPR 25 Mayıs 2018’de yürürlüğe girdiğinde hizmet şartlarını değiştirerek, kullanıcılarının verilerini GDPR kapsamında işlemek için yasal bir dayanak olarak kişiselleştirilmiş hizmetler ve reklamlar sunmak üzere bir sözleşmeye dayanmasına izin verecek şekilde değiştirdi.
DPC tarafından yapılan açıklamaya göre, Facebook ve Instagram’ın Facebook ve Instagram’a erişmek istiyorlarsa yeni şartları kabul etmek için “Kabul ediyorum” düğmesine basması gerekiyordu.
Schrems şikayetleri
Noyb aynı gün Facebook ve Instagram’ı GDPR’nin izin gerekliliklerini “atlamaya” çalışmakla suçlayarak şikayette bulundu.
Şikayetlere göre Meta, hedefli reklamların kullanıcılara sözleşmeyle borçlu olduğu hizmetin bir parçası olduğunu savundu.
Bu, şikayetlere göre, Sözleşme Zorunluluğunun normalde anlaşıldığı dar yolun yanı sıra kullanıcılara hizmet sağlamak için kesinlikle gerekli olanın ötesine geçti.
Şikayetler, Meta’nın, hizmetlerine erişilebilirliği Facebook ve Instagram’ın şartlarını kabul etme şartına bağlayarak, kullanıcıları verilerinin işlenmesine rıza göstermeye “zorladığını” iddia ediyordu.
“Kişiselleştirilmiş reklamlar için ‘evet/hayır’ seçeneğine sahip olmak yerine, izin maddesini şartlar ve koşullara taşıdılar. Schrems yaptığı açıklamada, bu sadece haksız değil, aynı zamanda açıkça yasa dışıdır” dedi.
“GDPR’yi bu kadar kibirli bir şekilde görmezden gelmeye çalışan başka bir şirketin farkında değiliz” diye ekledi.
Meta şeffaf olma yükümlülüğünü yerine getiremedi
DPC tarafından hazırlanan bir karar taslağı, Meta’nın müşterilerine verilerini nasıl işlediği, verilerini işleme amacı ve verileri işlemenin yasal dayanağı hakkında şeffaf olma yükümlülüğünü yerine getirmediğini tespit etti.
Ancak DPC, GDPR’nin Meta Ireland’ın kullanıcıların verilerini işlemek için yasal bir dayanak olarak bir sözleşmeye dayanmasını engellemediği ve Meta’nın kullanıcıların rızasına dayanmasını gerektirmediği sonucuna vardı.
Meta, Facebook ve Instagram hizmetlerinin kullanıcılara kişiselleştirilmiş hizmetler ve kişiselleştirilmiş reklamlar sunmayı içerdiğini söyledi.
DPC’nin görüşüne göre, bu gerçeklik, kullanıcılar ve seçtikleri hizmet sağlayıcı arasında yapılan pazarlığın merkezinde yer alır ve kullanıcıların Hizmet Şartlarını kabul ettiği noktada imzalanan sözleşmenin bir parçasını oluşturur.
İlgili Denetleyici Otoriteler (CSA) olarak bilinen diğer AB düzenleyicileri, karar verme sürecinin bir parçası olarak DPC’nin taslak kararını inceledi.
DPC ile Meta’nın şeffaflık yükümlülüklerini yerine getiremediği konusunda anlaştılar, ancak DPC ile Meta’nın sözleşmesinin geçerliliği konusunda bir anlaşmaya varamadılar.
Toplam 10 CSA, Facebook’un kullanıcılarıyla olan sözleşmesini yerine getirmek için kişiselleştirilmiş reklamların sunulmasının “gerekli olduğunun söylenemeyeceği” gerekçesiyle Meta’nın bir sözleşmeyi verileri işlemek için yasal bir dayanak olarak kullanmasına izin verilmemesi gerektiğini savundu.
İstişare sürecinin ardından DPC, tartışmalı noktaları nihai bir karar için EDPB’ye havale etti.
Kurul, ilke olarak, Meta Ireland’ın davranışsal reklamcılık için kişisel verileri işlemek için kullanıcılarla olan sözleşmesine yasal bir yasal dayanak olarak güvenme hakkına sahip olmadığını tespit etti.
EDPB, 5 Aralık 2022 tarihli kararında Meta Ireland’ın şeffaflık yükümlülüklerini yerine getirmediğini kabul etti ve ayrıca müşterilerinin verilerini işlerken adalet ilkesini de ihlal ettiğini tespit etti.
DPC, EDPB’nin Facebook ve Instagram’ı soruşturma emrine itiraz etti
DPC, Facebook ve Instagram’ın özel veri kategorilerine odaklanan veri işleme operasyonları hakkında yeni bir soruşturma yürütmesini zorunlu kılmak için EDPB’den başka bir talimata itiraz edeceğini söyledi.
DPC, EDPB’nin ulusal veri koruma düzenleyicilerini “açık uçlu ve spekülatif” bir soruşturma olarak adlandırdığı şeye yönlendirme yetkisine sahip olmadığını savunuyor.
“Yön … yargı açısından sorunlu ve GDPR tarafından belirlenen işbirliği ve tutarlılık düzenlemelerinin yapısıyla tutarlı görünmüyor” dedi.
DPC, EDPB’nin Meta hakkında Avrupa Adalet Divanı’nda daha fazla soruşturma başlatma talimatının iptali için dava açacağını söyledi.
DPC, Meta ile ‘işbirliği’ yaptı
Schrems, DPC ve Meta’nın, GDPR’yi “atlamak” için kullanıcılarıyla bir sözleşme kullanmasına izin vermek için bir dizi 10 gizli toplantı aracılığıyla Meta ile işbirliği yaptığını söyledi.
Noyb tarafından Bilgi Edinme Özgürlüğü kapsamında elde edilen belgeler, DPC’nin önerilen EDPB yönergelerinde Facebook’un yararına olacak “sözleşme özgürlüğü” hükümlerinin kullanımını uygulamaya çalıştığını da gösteriyor.
Noyb’den Meta’ya yönelik şikayeti aldıktan sonra DPC tarafından yapılan bu öneriler, diğer veri koruma yetkilileri tarafından reddedildi.
Schrems, DPC’nin kararının ardından Meta’nın artık kullanıcıların Facebook ve Instagram’ın kişisel verileri kullanmayan sürümlerine üç ay içinde sahip olmalarına izin vermesi gerektiğini söyledi.
Karar, Meta’nın reklamları kişiselleştirmek için bir kullanıcı tarafından okunan bir hikayenin içeriği gibi kişisel olmayan verileri kullanmasına veya kullanıcılara reklamlara “evet/hayır” seçeneği sunmasına izin verecek.
İtiraz edilecek meta
Meta yaptığı açıklamada, DPC’nin kararlarına ve para cezalarına itiraz etmeyi planladığını söyledi.
Şirket, kullanıcılara tamamen kişiselleştirilmiş hizmetler sunmaya devam etmesini sağlayacak çeşitli seçenekleri değerlendireceğini söyledi.
Schrems ve diğerlerinin, kişiselleştirilmiş reklamların, her bir kullanıcının sözleşmesi ilk önce aranmadığı sürece, Meta tarafından artık Avrupa genelinde sunulamayacağı yönündeki önerilerinin yanlış olduğunu da sözlerine ekledi.
Bir Meta sözcüsü şunları söyledi: “Bu kararlar, platformumuzda hedeflenen veya kişiselleştirilmiş reklamcılığı engellemez. Kararlar, yalnızca Meta’nın belirli reklamları sunarken kullandığı yasal dayanakla ilgilidir.”
Şirketten yapılan açıklamada, düzenleyiciler ve politika yapıcılar arasında bir süredir veri paylaşımının yasal dayanağı konusunda bir düzenleme netliği ve tartışması bulunmadığını ve AB mahkemelerinde sürmekte olan davaların farklı kararlar verebileceğini söyledi.
Aralık ayındaki bu süreçlerin son aşamalarına kadar düzenleyicilerin kendi aralarında bu konuda fikir ayrılıkları olduğu düşünüldüğünde, bugüne kadar izlediğimiz yaklaşımdan dolayı nasıl eleştirilebileceğimizi anlamak zor.
“Hizmetlerimizin doğası göz önüne alındığında, Davranış için Sözleşme Gerekliliği reklamlarına güvenerek GDPR’ye tam olarak uyduğumuza inanıyoruz. Sonuç olarak, kararın özüne itiraz edeceğiz” diye ekledi.
Yasal sorular
Veri koruma avukatı Dai Davis, Meta’nın temyizi kazanacağının kesin olmadığını söyledi.
Bir mahkeme için ilk soru, Meta’nın kullanıcılarla bir sözleşmesi olduğunu gösterip gösteremeyeceğidir. “Ya ‘Facebook’taki etkinliğinize ilişkin bir analizden ilginizi çekeceğine inandığımız reklamları size göndermekle yükümlüyüz’ diyen bir sözleşmeye dayalı anlaşmaları var ya da yok” dedi.
Sözleşme ayrıca adil ve şeffaf olmalıdır. Davis, “Verileri işlemekle ilgili yükümlülüklerin ne olduğunu ve sözleşmeye uymak için veri topladığınızın kullanıcı için şeffaf olduğunu açıkça belirtmelisiniz” dedi.
Meta, kendisine kullanıcılarla olan sözleşmesini istediği zaman değiştirme özgürlüğü veriyorsa, bu, sözleşmenin yasal olarak bağlayıcı olup olmadığı konusunda da soru işaretleri uyandırıyor.
Fladgate hukuk firmasının ortağı ve düzenleyici avukatı Eddie Powell, kararın “Meta için çok kötü bir haber” olduğunu söyledi. “DPC, Meta’nın Facebook veya Instagram hizmet sözleşmesinin bir parçası olarak kullanıcıları kişiselleştirilmiş reklamları kabul etmeye zorlama uygulamasının GDPR’nin ek bir ihlali olduğuna karar veren AB tarafından reddedildi” dedi. “Sonuç olarak DPC, Meta’ya verdiği cezayı 390 milyon avroya çıkardı.”
“Facebook ve Instagram kullanıcılarının, verilerinin kişiselleştirilmiş reklamlar sunmak için kullanıldığını kabul etmeye zorlanamayacağı emri, platformların reklamverenler için çekiciliğini büyük ölçüde azaltmalıdır” dedi. “Bir seçenek sunulursa, çok fazla kullanıcının kişiselleştirilmiş reklamları reddetmesi olasıdır.”
Ancak Meta, yaptığı açıklamada, kullanıcıların verilerini yasal olarak işlemek için izin istemek dışında çeşitli seçeneklere sahip olduğunu söyledi. “Bu kararlar, platformumuzda hedeflenen veya kişiselleştirilmiş reklamcılığı engellemez” dedi.