NEWS

September 30, 2019

KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA ABAD’IN “FASHION ID” KARARI

Facebook insanları sadece ilkokul arkadaşlarıyla ya da amcasıyla-teyzesiyle sanal ortamda buluşturan bir sosyal medya platformu değil artık, bunun çok çok ötesine geçti işler. Kişisel verilerin Facebook üzerinden ticari amaçlarla toplanması/işlenmesi boyutu da var meselenin ki bugün inceleyeceğimiz ABAD yorum kararına konu ihtilaf işte bu noktaya ilişkin.

Önce şunu belirtelim; 28 Mayıs 2018 tarihinde AB’de 2016/679 sayılı Genel Veri Koruma Yönetmeliği  uygulamaya girdi. Ancak, bu ihtilaf konu Yönetmelik  yürürlüğe girmeden önceki 95/46 sayılı Direktif döneminde gerçekleştiğinden mesele 95/46 üzerinden tartışılıyor.

Almanya’da yerleşik FASHION ID giysi satan bir e-ticaret platformu ve web sayfasına Facebook’un “Like” butonunu eklemiş. FASHION ID sayfasına girdiğinizde, Facebook’da bir hesabınız olsun ya da olmasın veya  Like butonuna basın ya da basmayın, siz farkında olmasanız da  IP adresiniz ve tarayıcı bilginiz otomatikman Facebook’un İrlanda’daki şirketi Facebook Ireland Limited’e (Facebook) iletiliyor. Bu bilgiler iletilince Facebook hemen hesabınıza türlü çeşit cookieler yerleştiriyor.

Tüketici haklarının korunması için kurulmuş bir dernek olan Verbraucherzentrale NRW e.V. (VNRW) bu durumu fark edince FASHION ID aleyhine Düsseldorf’da bir dava açıyor, bu yapılanın kişisel verilerin korunmasına dair 95/46 sayılı Direktife aykırı olduğunu iddia ediyor ve Facebook’a ait Like butonunun tedbiren kaldırılmasını talep ediyor.

VNRW diyor ki:

1- Facebook verilere ulaşmadan önce FASHION ID  sayfasını ziyaret edenlere bu verilerin neden toplandığını ve ne amaçla kullanılacağını açıkça belirtmiyor.

2- FASHION ID, Facebook verilere ulaşmadan önce, kullanıcıların açık rızasını almıyor.

3- FASHION ID, verilerinin toplanmasına rıza verenlerin bu rızalarını istediği zaman geri çekebileceği konusunda kullanıcıları bilgilendirmiyor.

4- FASHION ID kullanıcılara “eğer bir sosyal medyanın kullanıcısıysanız ve bu sosyal medyanın  bizim web sayfamız aracılığıyla sizin hakkınızdaki verileri toplamasını ve kendi mecrasında saklamasını  istemiyorsanız öncelikle o sosyal medyadan çıkış yapmalısınız” diye bir uyarıda bulunmuyor.

Ayrıca VNRW diyor ki; Facebook Inc. veya Facebook Ireland bu bilgileri saklıyor ve bunları belli bir kullanıcıya yönlendiriyor ki bu kullanıcı bir AB üyesinde olabilir ya da olmayabilir. Buna karşı FASHION ID böyle bir durum  hakkında bilgi sahibi olmadığını söylüyor. Facebook ise elde ettiği IP adreslerinin jenerik IP adreslerine çevrildiğini ve sadece bu jenerik formda saklandığını, ayrıca tarayıcı dizilimlerinin IP adresleriyle ve kullanıcılarla bağlantılanmadığını iddia ediyor.

Düseldorf Mahkemesi 2016 yılında verdiği kararla yukarıda sıraladığım VNRW’nin dört iddiasının ilk üçünü kabul ediyor ama dördüncü iddiayı reddediyor ve  neticeten VNRW’nin tedbir talebini kabul ediyor.Taraflar dosyayı temyiz ediyor. Mesele Bölge Temyiz Mahkemesi’ne taşınınca, bu Mahkeme yargılamayı durdurup ABAD’dan şu hususlarda yorum kararı talep ediyor:

1- Kamu yararına kurulmuş dernekler böyle bir davayı açabilir mi?

2- 95/46 sayılı Direktif’in 7(f) maddesi, kişisel veri sahibinin temel haklarını ve özgürlüklerini çiğnememek kaydıyla, veri sorumlusunun veya verinin açıklandığı 3. kişi veya kişilerin meşru  menfaati için gerekli olduğu durumda kişisel verilerin işlenebileceğini düzenliyor. Bu noktada,  menfaatler dengesi açısından, kimin meşru menfaati dikkate alınmalıdır? Yani burada göz önüne alacağım web sayfası operatörünün mü yoksa eklentiyi sağlayan 3. kişinin meşru menfaati midir?

3- Bunun gibi olaylarda açık rıza kime verilmelidir?

4- Direktif’in 10. maddesi kişisel verinin sahibine sağlanması gereken minimum bilgilendirmeyi düzenliyor. Bunun gibi olaylarda bu bilgilendirmeyi yapmak web sayfasının sahibine mi ait?

Hukuk Sözcüsü Bobek görüşünü Aralık 2018’de sunuyor,  ABAD ise yorum kararını 29 Temmuz 2019’da açıklıyor.

Önce hemen şunu söyleyelim; ABAD böyle bir davanın tüketici haklarının korunması için kurulmuş  dernekler tarafından da açılabileceğini söylüyor kararında. Yani birinci sorunun cevabı “Evet”.

Diğer sorulara ilişkin olarak ABAD’ın yorumları şöyle özetlenebilir:

2. Soru Hakkında

İnternetin temel çalışma prensibi şöyle; bir web sayfası ziyaret edildiğinde tarayıcı (browser) değişik kaynaklardan gelen  içeriklerin gösterilmesine izin veriyor. Yani fotoğraflar, videolar, haberler ve olayımızda olduğu gibi Facebook Like butonu bir web sayfasına bağlanabilir ve orada görünür olabiliyor.

Bir web sayfası operatörü eğer üçüncü bir kişinin içeriğini sayfasına eklemek isterse o zaman  sayfasına onun linkini veriyor. Operatörün web sayfası ziyaret edildiğinde ve ziyaretçinin tarayıcısı bahsi geçen (eklenmiş) linkle karşılaştığında linkin sahibi olan  üçüncü kişiden içerik talebinde bulunuyor + ziyaretçinin  IP adresini ve  tarayıcısının teknik datasını da karşı tarafa iletiyor ki talep edilen içerik karşı tarafın serverı tarafından uygun  formatta oluşturulabilsin.Kendi web sayfasına üçüncü bir kişinin içeriğini (linkini)  ekleyen sayfa operatörü, tarayıcının hangi veriyi ilettiğini veya veriyi alan üçüncü kişinin bununla ne yapacağını ve özellikle de bu üçüncü kişinin veriyi saklayıp saklamadığını ya da kullanıp kullanmadığını kontrol edemiyor.

Dava dosyasından anlaşıldığı kadarıyla, FASHION ID’nin web sayfasına giren ziyaretçilerin kişisel verileri web sayfasında yer alan Like butonu sayesinde/aracılığıyla  Facebook’a aktarılıyor. Yine anlaşılıyor ki bu aktarım işlemi ziyaretçinin Facebook’da bir  hesabı olsa da olmasa da veya ziyaretçi Like butonuna tıklamasa da ve dahi sayfayı ziyaret eden kişi hiç farkında olmadan gerçekleşiyor.

FASHION ID kendisinin 95/46 sayılı Direktif çerçevesinde veri sorumlusu olarak kabul edilemeyeceğini çünkü aktarılan veriler üzerinde etkisi olmadığını ve Facebook’un iletilen verileri nasıl kullandığını bilmediğini iddia ediyor.

95/46 sayılı Direktif açık biçimde bu mevzuatın temel amacının gerçek kişilerin temel hak ve özgürlüklerinin en yüksek seviyede korunması bağlamında  özellikle kişisel verilerin işlenmesiyle ilgili olarak gizliliğin korunması olduğunu işaret ediyor. Veri sorumlusu bir gerçek ya da tüzel kişi olabilir. Direktif, veri sorumlusu kavramını geniş biçimde ele alıyor ve veri sorumlusunun kişisel verinin işlenme amacı ile araçlarını bizzat veya başkalarıyla beraber belirleyen kişidir diyor.Demek ki veri sorumlusu illaki tek başına olmak zorunda değildir, resme birden fazla aktör katılabilir; ayrıca birden fazla aktör varsa illaki bunların tümünün kişisel veriye erişimi olması da gerekmez. Diğer yandan, birden fazla veri sorumlusu varsa, bunların tümünün eşit  sorumluluk düzeyinde olması da gerekmez, zira her biri kişisel veri işlenmesinde farklı aşamalarda yer almış olabilir. Ortak sorumluluk halinde olaydaki tüm faktörlere bakarak karar vermek gerekir.

Huzurdaki olayda FASHION ID, sayfasına Facebook’a ait Like butonunu koyarak, sayfayı  ziyaret edenlerin  kişisel verilerinin Facebook’a aktarılmasını mümkün kılmıştır ve bu veri aktarımı ziyaretçiler sayfaya girdiği anda meydana gelmiştir. Burada FASHION ID’nin yaptığı verilerin toplanması ve aktarım yoluyla Facebook’a ifşa edilmesidir. Bu noktada ilk etapta FASHION ID’nin  toplanan verilerin hangi amaçla toplandığını ve  hangi araçlarla işleneceğini bilmediği gibi veri işleme sürecine katılmadığı, dolayısıyla, veri sorumlusu olarak nitelendirilemeyeceği düşünülebilir. Verilerin toplanması için kullanılan araç düşünüldüğünde ise şu açıktır:  FASHION ID Like butonunu sayfasına yerleştirerek ziyaretçilerin verilerinin toplanıp Facebook’a aktarılacağının tamamıyla farkındadır. Tüm bunlar birlikte düşünüldüğünde şunu kabul etmek lazımdır ki, Facebook ve FASHION ID operasyonun temelinde verilerin toplanmasına  dair araç ve verilerin nasıl aktarılacağına dair kararı birlikte vermiştir.

Verilerin hangi amaçla toplandığı konusuna gelince;burada FASHION ID’nin Like butonunu sayfasına yerleştirmekteki amacının şu olduğu anlaşılmaktadır; sayfaya girenlerin Like butonuna basması halinde kendisinin sattığı malların Facebook sosyal medyasında daha fazla görünür hale gelmesi ve bunun sonucunda mallarının daha iyi tanıtımının yapılması. FASHION ID’nin verilerin toplanıp aktarılmasına açıkça olmasa da zımni biçimde izin vermesinin sebebi de mallarının tanıtımının artmasından kaynaklanan ticari menfaatten faydalanmaktır. Bu yapılan operasyon hem Facebook’un hem de FASHION ID’nin ekonomik menfaatlerine yaramıştır. Facebook ve FASHION ID gerçekleşen operasyonun amacına birlikte karar vermiştir. Böyle bir halde, sayfayı çalıştıran FASHION ID’nin veri sorumlusu olmadığı söylenemez. Sayfayı ziyaret edenlerden Facebook’da hesabı olmayanların verilerinin de toplanıp Facebook’a aktarıldığı düşünüldüğünde, özellikle bu ziyaretçilere karşı  FASHIONID’nin sorumluluğunun çok daha yüksek olduğu ortadadır.Dolayısıyla FASHION ID , verilerin toplanması ve aktarılmasına ilişkin olarak Facebook ile birlikte ortak veri sorumlusu  kabul edilebilir.

3. ve 4. Sorular  Hakkında

Ulusal Mahkeme kimin meşru menfaatini göz önüne alması gerektiğini sormaktadır.

Huzurdaki gibi ihtilaflarda dosyaya bakan Ulusal Mahkeme, eklentiyi (Like butonu) sağlayan kişi (Facebook), sayfayı yönetenden  (FASHION ID) ziyaretçi  bilgilerinin saklandığı terminal donanıma erişim almış mıdır diye araştırmalıdır. Olaydaki Ulusal Mahkeme toplanıp aktarılan verilerin kişisel veri olduğu ve bunların sadece terminal donanımda saklanan verilerle sınırlı olmadığı neticesine varmıştır.

Direktifin  7(f) maddesi veri sorumlusunun ya da verinin açıklandığı üçüncü kişinin/kişilerin meşru menfaatinin mevcudiyeti halinde, kişisel verinin işlenebileceğini belirtmektedir, bunun istisnası ise verisi işlenecek kişinin temel hak ve özgürlüklerine ilişkin menfaatlerin çiğnenmemesidir. Birden fazla veri sorumlusunun olduğu hallerde her bir veri sorumlusunun ayrı ayrı meşru menfaati olması aranır.

Ulusal Mahkeme ziyaretçilerin rıza beyanının kim tarafından alınması gerektiğini sormaktadır. Verilerin toplanıp aktarılmasına ilişkin rıza beyanı alınması konusundaki sorumluluk web sayfasını işletene aittir, çünkü ziyaretçi onun sayfasına girmektedir.

NETİCETEN:

1- Böyle bir davayı tüketici haklarını korumak amacıyla kurulmuş  dernekler de açabilir,

2- Olaydaki gibi bir durumda web sayfası operatörü veri sorumlusu olarak kabul edilebilir. Ancak bu sorumluluk, operatörün kişisel verinin işlenmesi konusunda belirlediği  amaç ve araçlara ilişkin dahil olduğu operasyonlarla sınırlıdır; yani olayımızda web sayfası operatörünün sorumluluğu, kişisel  verinin toplanması ve aktarım yoluyla ifşa edilmesiyle  sınırlıdır.

3- Birden fazla veri sorumlusu bulunması halinde, veri işlemenin meşru  kabul edilebilmesi için her bir veri sorumlusunun ayrı ayrı meşru menfaati olmalıdır.

4- Ziyaretçilerin rızası web sayfası operatörü tarafından alınmalıdır, ancak onun alacağı rıza, operatörün kişisel verinin işlenmesi konusunda belirlediği amaç ve araçlara ilişkin dahil olduğu operasyonlarla sınırlıdır. Ziyaretçiyi gerekli şekilde bilgilendirme yükümlülüğü de web sayfası operatörü üzerindedir, lakin burada da operatörün sorumluluğu kişisel verinin işlenmesi konusunda belirlediği  amaç ve araçlara ilişkin dahil olduğu operasyonlarla sınırlıdır.