Avrupa Birliği Adalet Divanı’ndan Müşterek Veri Sorumluluğuna İlişkin Karar
Avrupa Birliği Adalet Divanı (“ABAD”), 29 Temmuz 2019 tarihinde almış olduğu karar ile internet sitesinde sosyal medya uygulamaları eklentilerine yer verenlerin Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında sosyal medya şirketleri ile müştereken veri sorumlusu kabul edilebileceği yönünde kanaate vardı.
Almanya merkezli çevrimiçi perakende ürün satışı yapan Fashion ID şirketinin internet sitesinde Facebook’un “Beğen” butonuna yer vermesi üzerine Alman Tüketici Hakları Otoritesi’nin Fashion ID’nin bu uygulamasına karşı Düsseldorf Yerel Yüksek Mahkemesi’ne taşımış olduğu dosya, mahkemenin ABAD’ın dosyaya müdahil olması önerisi üzerine ABAD’ın önüne gelmiştir.
Yapılan inceleme sonucundaki tespite göre ilgili Facebook eklentisi sayesinde Fashion ID’nin internet sitesi ziyaretçilerinin kişisel verileri, butona tıklamalarından veya Facebook hesapları bulunmasından bağımsız olarak Facebook’a aktarılabilmekte. Söz konusu eklenti sayesinde Fashion ID ürünlerinin Facebook platformlarında görülme oranının tıklanma ile doğru orantılı olarak arttığı ve Facebook’a aktarılan kişisel verilerin Facebook’un ticari faaliyetleri kapsamında kullandığının öngörüldüğü ABAD tarafından kararda belirtilmiştir.
ABAD, yukarıdaki bilgiler ışığında yapmış olduğu değerlendirme sonucunda taraflardan sadece birinin veri sorumlusu olamayacağı ve iki tarafın da bu ilişki çerçevesinde kişisel veri işlemenin amaç ve vasıtalarını belirlemekte olması sebebiyle müştereken veri sorumlusu kabul edilmeleri gerektiği yönünde karar almıştır. ABAD, müşterek veri sorumlusu sıfatını haiz olan internet sitesi sahiplerinin de böylece kullanıcılarını en geç kişisel verilerinin toplanması sırasında aydınlatması gerektiğini ve veri işlemenin herhangi bir hukuki sebebe dayanmadığı hallerde müşterek veri sorumlularının her birinin işleme faaliyetinden önce münferiden kullanıcılarının açık rızalarının alınması gerektiğini öngörmüştür.
Kararın sadece Facebook bakımından değil tüm sosyal medya uygulamaları ve özellikle çevrimiçi reklam uygulamalarını benimsemiş şirketler bakımından ciddi sonuçlarının olacağını öngörmek mümkün. Nitekim, GDPR’a tabi şirketler halihazırdaki sözleşmelerini, GDPR’da yer alan müşterek veri sorumluluğu düzenlemeleri ve ABAD kararları neticesinde tadil etmek ve tarafların görev ve sorumlulukları keskin çizgilerle belirlemek durumunda.
Kararın sonuçlarının müşterek veri sorumluları tarafından doğru anlaşılması ve bu paralelde yerinde aksiyonların alınması durumunda dahi ilgili kişilerin GDPR kapsamında haklarını nasıl ve kime karşı kullanabileceği açısından bir karışıklığa sebebiyet vermesi açısından bu hakların kullanılmasına yönelik metot ve vasıtaların da açık bir şekilde ilgili kişilere bildirilmesi gerekiyor.
Ayrıca GDPR m. 26/2 kapsamında müşterek veri sorumluları arasındaki ilişki ve bu ilişki kapsamındaki görev tanımlarının da ilgili kişilerin bilgisine sunulması müşterek veri sorumlularından beklenmekte. İlgili kişiler ise GDPR’da kendilerine bahşedilmiş olan haklarını müşterek veri sorumlularının herhangi birine karşı iddia edebilmekte.
Türkiye’deki duruma değinmek gerekirse, GDPR’ın 26. maddesinde yer alan müşterek veri sorumlusu kavramı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) düzenlenmemiş durumda. Bu sebeple ilgili kararın tezahürü olabilecek bir uygulamanın ileriki dönemlerde nasıl şekilleneceğini şimdiden öngörmek zor olmakla birlikte geçtiğimiz günlerde Türkiye Büyük Millet Meclisi’nde kabul edilen 11. Kalkınma Planı’nda belirtildiği üzere KVKK’nın GDPR ile uyumlu hale getirilmesi adına çalışmaların devam ettiği düşünüldüğünde KVKK’nın tadil edilmesi durumunda müşterek veri sorumlusu kavramının da Türk Kişisel Veri Hukuku terimleri arasına dahil olması beklenebilir. Ancak böyle bir durumda müşterek veri sorumluluğunun uygulama alanının nasıl şekilleneceği soru işareti olmaya devam etmekte.