Makaleler

Facebook GDPR Yükümlülüklerini Yerine Getirmemesi Nedeniyle Flört Özelliğini Avrupa’da Uygulamaya Geçiremedi

Blog Single

Sorularınız için, lütfen bizimle iletişime geçin, ekibimiz tüm sorularınızı cevaplamaya hazır.

Bu gönderiyi paylaş:

          Facebook Dating, Şirketin Tinder gibi uygulamalara rakip olarak geliştirdiği özelliği 2020 yılında ABD dâhil 20 ülkede kullanılmaya başlamıştı. Yeni özellik sayesinde kullanıcıların kayıtlı Facebook hesabı üzerinden hızlı bir şekilde kullanıcı profili oluşturulmakta ayrıca Instagram’a yüklenen fotoğraflar otomatik olarak özelliğe entegre edilebilmekte. Bu özellikle arkadaşlarınızın arkadaş gruplarında yer alan kişilerle ya da tamamen arkadaş grubunuzun dışında olan kullanıcılarla tanışmanız mümkün. 

               

Facebook Dating servisinin Sevgililer gününden bir gün önce 13 Şubat itibariyle Avrupa’da kullanıma açılması ön görülmekteydi. Ancak Wall Street Journal’ın bildirdiğine göre ülkemizdeki Kişisel Verilerin Korunması Kurulunun muadili olan İrlanda Veri Koruma Komisyonu’nun Facebook Dating özelliğinin AB’nin GDPR olarak bilinen Genel Veri Koruma Tüzüğü’nün gereksinimlerini karşılamadığına dair değerlendirmesi nedeniyle Facebook şirketi bahse konu özelliğin AB pazarına girişinin ileri bir tarihe ertelenmek zorunda aldı.[1]

 

               GDPR’a göre şirketlerin müşterilerinin özel hayatlarının gizliliği hakkı gereği kişisel verilerinin kullanımı ve transferini etkileyecek yeni bir hizmet geliştirmeden önce Veri Koruma Etki Değerlendirmesi (VKED, İngilizce ifadesiyle Data Protection Impact Assessment-DPIA) yaptırmaları gerekmekte. GDPR’a uyum sağlamak için ön görülen veri işleme faaliyetlerinin veri sahiplerinin hak ve özgürlükleri bakımından yüksek risk oluşturabilecek işlemleri içermesi durumunda(çok sayıda kişinin biyometrik verileri gibi bilgilerinin işlenmesi gibi) veri sorumlusu olarak hareket eden şirketlerin ilgili kişiler açısından ortaya çıkabilecek risklerin kaynağı, doğası, özellikleri ve riskin ağırlık düzeyini değerlendirmesi gerekmektedir. VKED kapsamında yapılacak değerlendirme sonuçları veri işleme faaliyetlerinin ilgili kişiler açısından doğabilecek risklere karşı alınan makul önlemlerle GDPR hükümlerine uyumlu hale getirildiğinin belirlenmesinde belirleyici olmaktadır. VKED neticesinde eğer veri sorumlusu mevcut teknoloji ve uygulama maliyetleri çerçevesinde ön görülen veri işleme faaliyetinin ilgili kişiler bakımından doğuracağı yüksek riskleri uygun yöntemlerle bertaraf edemez ise veri işleme faaliyetlerine başlanmadan önce kişisel verilerin korunması konusunda yetkili denetleme mercii ile istişare etmeli ve veri işleme faaliyetlerinden önce onayını almalıdır. 

               Esasında büyük çaplı kişisel veri işleme operasyonları içeren faaliyetlere başlamadan önce veri koruma denetçi kurumlarını bilgilendirmek yeni bir uygulama değildir. Ülkemizdeki 6698 sayılı Kanuna menşe teşkil eden AB2nin 95/47/EC Sayılı Direktifi ülkemizdeki VERBİS sistemine kayıt mükellefiyeti gibi veri koruma denetçi kurumlarına bildirim yükümlülüğü içermekteydi. Bahse konu bildirim yükümlülüğü idari ve mali külfetler getirmenin yanı sıra ilgili kişilerin verilerinin gizlilik ve güvenliğinin korunması noktasında her zaman etkin sonuçlar doğuramamıştır. Bu nedenle hiçbir ayrıma gidilmeksizin genel anlamda yapılan bildirim yükümlülüğü uygulaması GDPR’ın yürürlüğe girmesiyle terk edilerek özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde veri sorumlusunun öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapması ve denetçi kurumun onayına sunması yöntemi benimsenmiştir. (Bkz. GDPR Md. 35) yeni bir teknolojinin kullanımı ya da daha önce herhangi bir etki değerlendirilmesi yapılmamış olan yeni türden işleme faaliyetlerinin ön görülmesi ya da ilk etki değerlendirilmesinin üzerinden geçen zaman içerisinde ortaya çıkan yeni koşullar nedeniyle güncellemeye gidilmesi gereken durumlar da VKED yapılmasını gerektirecektir.[2]

           Facebook şirketinin yeni uygulaması açısından VKED zorunluluğu bireylerin kişisel tercih ve zevkleri ile hayat tarzlarının algoritmalar yardımıyla analiz edilerek profil oluşturulmasını içerdiği için işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında söz konusu işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olması nedeniyle GDPR bağlamında bir etki değerlendirilmesine gidilmesini gerektirmektedir. Söz konusu VKED yapılırken özellikle olası risklerin olumsuz sonuçlarını ortadan kaldıracak ya da minimize edecek ve kişisel verilerin korunması ile GDPR kaynaklı yükümlülüklere uyum sağlanmasını temin edilmesini sağlayacak önleyici tedbir, güvence ve mekanizmalar analiz edilmelidir. 

Veri sorumlusu olarak hareket eden Facebook, özellikle bölgesel, ulusal veya bölgesel düzeyde önemli miktarda kişisel veriyi işlemeyi amaçlayan ve çok sayıda veri sahibinin özel yaşamını etkileyebilecek ve yüksek riskle sonuçlanması muhtemel olan büyük ölçekli işleme operasyonları için VKED yükümlülüğü altındadır. Büyük ölçekli işleme operasyonları örnek olarak elde edilen teknolojik bilginin durumuna uygun olarak, yeni bir teknolojinin büyük ölçekte kullanıldığı durumlar ve ayrıca veri sahiplerinin hassasiyet nedeniyle, özellikle bu işlemlerin veri sahiplerinin haklarını kullanmasını zorlaştırdığı durumlarda VKED yapılmasını zorunlu kılmaktadır.

               GDPR’ın Veri koruma etki değerlendirmesi başlıklı 35. Maddesine göre: Özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, veri sorumlusu, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapar. Tek bir değerlendirmede benzeri yüksek riskler taşıyan bir dizi benzer işleme faaliyeti ele alınabilir. (1. Fıkra) 

               Maddenin 1. fıkrasında atıfta bulunulan veri koruma etki değerlendirmesine aşağıdaki durumlarda özellikle ihtiyaç duyulur:

(a)          gerçek kişilerle ilgili kişisel özellikler hususunda profil çıkarma da dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme;

(b)         Irk veya etnik köken, siyasi görüş, dini veya felsefi inanç ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin veriler olarak tanımlanan özel nitelikli kişisel verilerin veya adli sicil kaydı gibi mahkûmiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya

(c)          kamuya açık bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi.

          Veri Koruma Etki Değerlendirmesi en azından aşağıda sıralanan hususları içermelidir:

(a)          uygun olduğu hallerde, veri sorumlusu tarafından gözetilen meşru menfaat de dahil olmak üzere öngörülen işleme faaliyetleri ve işleme amaçlarına ilişkin sistematik bir açıklama;

(b)         işleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına yönelik bir değerlendirme;

(c)          veri sahiplerinin hakları ve özgürlüklerine yönelik risklere ilişkin bir değerlendirme ve

(d)         veri sahipleri ve ilgili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin korunmasının sağlanması ve GDPR hükümlerine uygun hareket edildiğinin gösterilmesiyle ilgili güvenceler, güvenlik tedbirleri ve mekanizmalar da dâhil olmak üzere risklerin ele alınması hususunda öngörülen tedbirler.

               İrlanda’nın Veri Koruma Komisyonu en azından Facebook Dating uygulamasının 13 Şubat tarihi itibariyle kullanıma açılmasının ön görüldüğünü hatırlatarak kuruma çok geç bilgi verilmiş olması nedeniyle oldukça endişeli olduğunu bildirmiştir. Facebook ise 3 Şubat tarihinde ilgili kurumun bilgilendirildiğini belirtmiştir. GDPR’ın 36. Maddesine göre veri sorumlusu aşağıdaki hallerin var olması durumunda ilgili denetçi kurum ile ön istişare içerisine girmeli ve onayını beklemelidir: 

  1. 35. madde kapsamındaki bir veri koruma etki değerlendirmesi sonucunda veri sorumlusu tarafından riskin azaltılması hususunda alınan tedbirlerin olmaması durumunda işleme faaliyetinin yüksek bir riske sebebiyet vereceğinin görüldüğü hallerde, veri sorumlusu işleme faaliyetinden önce denetçi kuruma danışır.   
  2. Veri sorumlusunun riski yeterli şekilde tanımlamadığı veya azaltmadığı haller başta olmak üzere denetçi kurumun amaçlanan işleme faaliyetinin GDPR hükümlerini ihlal edeceğini değerlendirdiği hallerde, denetçi kurum, istişare talebinin alınmasından itibaren sekiz haftalık bir süre içerisinde, veri sorumlusuna ve uygun olduğu hallerde veri işleyene, yazılı tavsiyede bulunur ve, GDPR 58. maddede atıfta bulunulan yetkilerinden herhangi birini kullanabilir. Bu süre, amaçlanan işleme faaliyetinin karmaşıklığı dikkate alınarak, altı hafta daha uzatılabilir. Denetçi kurum, gecikme sebepleri ile birlikte istişare talebinin alınmasından itibaren bir ay içerisinde herhangi bir süre uzatımı ile ilgili olarak veri sorumlusunu ve uygun olduğu hallerde, veri işleyeni bilgilendirir. Bu süreler, denetçi kuruma istişare amacıyla talep etmiş olduğu bilgilerin sunulmasına kadar askıya alınabilir

 

Yukarıda açıklandığı şekilde denetçi kuruma ön istişare amacıyla danışılırken, veri sorumlusu denetim makamına şunları sağlamakla mükelleftir: 

(a)          uygun olduğu hallerde, veri sorumlusu, ortak sorumlular ve işleme faaliyetine müdahil olan veri işleyen taraflar özellikle bir teşebbüsler grubu dahilindeki işleme faaliyetine yönelik sorumlulukları;

(b)         planlanan işleme amaçları ve yöntemleri;

(c)          veri sahiplerinin hakları ve özgürlüklerinin korunması amacı ile GDPR uyarınca sağlanan tedbirler ve güvenceler;

(d)         uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;

(e)          35. maddede belirtilen veri koruma etki değerlendirmesi ve

(f)          denetim makamının talep ettiği diğer bilgiler

 

Yukarıda açıklandığı üzere GDPR sekiz haftalık bir süre öncesinden denetçi kuruma istişare amacıyla bildirim 

WSJ gazetesine verilen demeçte Facebook yeni ürünlerinin Avrupa pazarı için hazır olmasını sağlamak için biraz daha fazla süreye ihtiyaç duyulduğunu belirtti. Ayrıca ilgili kişilerin verilerinin güçlü bir şekilde güvence altına alınması için dikkatli bir şekilde çalışıldığını ve ürünün Avrupa pazarına arz edilmeden önce yetkili makam olan İrlanda Veri Koruma Komisyonu ile gerekli bilgilerin paylaşıldığı savunuldu. Facebook kendisinden talep edilen veri koruma etki değerlendirmesi yaparak istendiğinde ilgili kuruma sunulduğunu savundu.[3] 

               Ne yazık ki aradığı aşkı bulmaya çalışan Facebook kullanıcıları en azından şimdilik hayal kırıklığına uğramış oldular. Görünen o ki, henüz kendilerine sevgili bulamamış olan Facebook kullanıcıları Sevgililer Gününe yalnız girecekler. Eski bir deyimle yazımızı bitirmemiz gerekiyor.  Dura lex, sed lex: Katı olsa da yasa yasadır.

 

 

 


 

[1]https://www.wsj.com/articles/stood-up-facebook-keeps-europe-waiting-over-dating-feature-11581519771

[2] GDPR, Resital 89.

[3]https://www.theverge.com/2020/2/13/21136012/facebook-dating-european-launch-delayed-data-protection-gdpr 

İlgili Etiketler

İlgili yazılar