E-bülten

AVRUPA BİRLİĞİ ADALET DİVANI’NIN FASHION ID KARARI

Blog Single

Sorularınız için, lütfen bizimle iletişime geçin, ekibimiz tüm sorularınızı cevaplamaya hazır.

Bu gönderiyi paylaş:

                                        AVRUPA BİRLİĞİ ADALET DİVANI

                                             E-Bülten Bülten No 01/23

    C-40/17 sayılı ve 29 Temmuz 2019 tarihli AB Adalet Divanı (ABAD) kararı, 

    Fashion ID GmbH & Co. KG ile Verbraucherzentrale NRW eV, 

    Özet: “Facebook Beğen” butonu bulunan bir web sitesi işletmecisi, ziyaretçilerinin kişisel verilerinin toplanması ve bunların Facebook' a iletilmesi konusunda, Facebook' la müşterek veri sorumlusu konumundadır.

    Buna karşılık, söz konusu web sitesi işletmecisi, prensip olarak, daha sonra Facebook tarafından işlenen bu verilerin daha sonraki işlenmesi bakımından “veri sorumlusu” durumunda değildir.

    Online satış yapan bir Alman giyim perakendecisi Fashion ID, web sitesine “Facebook Beğen” butonu yerleştirmiştir. Bu butonun yerleştirilmesi neticesinde, web sitesini ziyaret eden kullanıcıların kişisel verilerinin Facebook İrlanda' ya iletildiği anlaşılmıştır. Yapılan bu iletimin, ziyaretçinin farkında olmadan ve sosyal ağ olan Facebook üzerinde herhangi bir üyeliğinin olup olmadığına veya “Beğen” butonuna tıklayıp tıklamadığına bakılmaksızın gerçekleştiği görülmüştür.

    Başvuru dosyası içeriğinden anlaşıldığı üzere internet ağında bir web sitesi ziyaret edildiğinde, tarayıcının farklı kaynaklardan gelen içeriğin görüntülenmesine izin verdiği görülmektedir. Böylece, örneğin, mevcut davada söz konusu olan fotoğraflar, videolar, haberler ve Facebook "Beğen" düğmesi bir web sitesine bağlanabilir ve orada görünebilir. Bir web sitesi operatörü, bu tür üçüncü taraflara ait içeriği web sitesine yerleştirmek isterse, söz konusu web sitesindeki harici içeriğe bir bağlantı yerleştirir. O siteye gelen bir ziyaretçinin tarayıcısı böyle bir link ile karşılaştığında üçüncü taraf sağlayıcıdan içeriği talep eder ve sitenin görünümüne istenilen yere ekler. Bunun gerçekleşmesi için Google Chrome gibi bir ağ tarayıcısı, üçüncü taraf hizmet sağlayıcının sunucusuna o ziyaretçinin bilgisayarının IP adresini ve ayrıca tarayıcının teknik verilerini iletir, böylece sunucu içeriğin hangi formatta teslim edileceğini belirleyebilir. Buna ek olarak tarayıcı istenilen içeriğe ilişkin bilgileri de aktarır. Bu web sitesine üçüncü taraf içeriği yerleştiren web sitesinin operatörü, tarayıcının hangi verileri ilettiğini veya üçüncü taraf hizmet sağlayıcının bu verilerle ne yaptığını, özellikle de bunları kaydetmeye ve kullanmaya karar verip vermediğini kontrol edemez. Fashion ID'nin web sitesine erişen ziyaretçinin kişisel verileri, o web sitesinin bahse konu Beğen düğmesini içermesi nedeniyle sunucuları İrlanda’da bulunan Facebook firmasına iletilir. Facebook sosyal ağının bir üyesi olup olmadığına veya Facebook 'Beğen' düğmesini tıklamış olup olmadığına bakılmaksızın, bu aktarım o ziyaretçinin farkında olmadan gerçekleşmektedir. 

    ABAD’a göre söz konusu verilerin aktarılması sonrasında Facebook İrlanda tarafından gerçekleştirilen veri işleme faaliyetleri bağlamında, Fashion ID'nin “veri sorumlusu” olarak kabul edilemeyeceği sonucuna ulaşmıştır. Zira, Fashion ID'nin, başlangıçta, bu aşamada gerçekleştirilen veri işleme faaliyetlerinin amaçlarını ve araçlarını belirlemesi imkansızdır.

    Buına karşın, ABAD, Fashion ID gibi bir web sitesi işletmecisinin,  verilerin toplanması ve Facebook İrlanda'ya iletilmesi, web sitesine gelen verilerin işlenmesi gibi belirli veri işleme faaliyetleriyle ilgili olarak müşterek veri sorumlusu olduğunu belirtmiştir.

    MÜŞTEREK VERİ SORUMLUSU NE ANLAMA GELMEKTEDİR? 

    Türk mevzuatında bulunmayan bir kavram olan müşterek veri sorumlularının söz konusu olabilmesi için işleme faaliyetlerine birden fazla aktörün iştirak etmesi gereklidir. 6698 sayılı KVKK’da açıkça belirtilmemiş olmasına rağmen esasında bu kavram 95/46/ERC sayılı Veri Koruma Direktifinde de mevcut olmakla birlikte GDPR’ın 26. Maddesinde müşterek veri sorumluları için spesifik kurallar getirilerek aralarındaki ilişkinin düzenlenmesi için bir çerçeve oluşturulmuştur. Bunun yanı sıra ABAD oluşturduğu içtihat ile bu kavrama açıklık getirmeye çalışmıştır. Örneğin Wirtschaftsakademie kararında ABAD, Facebook sosyal ağında yer alan bir hayran sayfası yöneticisinin veri sorumlusu olarak değerlendirileceğine hükmetmiştir.* Divan’a göre sayfa yöneticisi, sayfa ziyaretçilerinin kişisel verilerinin işlenme amaç ve vasıtalarının belirleyen parametrelerin tanımlanmasında (özellikle hedef kitle ve faaliyetlerin yönetimi ve tanıtımı amaçlarına bağlı olarak) rol almaktadır. Facebook’un veri işleme amaçlarına ortak olmakta ve aynı veri işleme aracını (Facebook Insights) kullanmaktadır. Facebook da bu platformu zaten kişisel sayfalara sunmaktadır. Dolayısıyla ortak veri sorumluluğu söz konusudur.

    Divan müşterek veri sorumlusu olarak kabul edilebilmek için her bir veri sorumlusunun ilgili kişisel verilere erişim sağlamasının gerekli olmadığına hükmetmiştir. †  Bununla birlikte Divan’a göre müşterek veri sorumlusu olunması kişisel verilerin işlenmesine iştirak eden tarafların eşit seviyede sorumluluk sahibi oldukları anlamına gelmemektedir. Aksine bahse konu taraflar kişisel veri işleme faaliyetlerinin farklı aşamalarına farklı düzeylerde katılabilirler. Bu nedenle sorumluluk düzeyleri her bir somut olayın kendine has koşulları göz önüne alınarak değerlendirilmelidir.

 

    Görüldüğü üzere hem kendi web sitesinde sosyal ağlara link sağlayan hem de sosyal ağ platformlarında kurumsal hesap açan ya da hayran sayfası işleten kuruluşlar veri sorumlusu olmakta ve bu sıfattan kaynaklanan hukuki yükümlülüklere tabi olmaktadırlar. Bu nedenle kurumsal web sitelerinde Facebook, Twitter, LinkedIn gibi sosyal ağlara erişim sağlayan gerçek ve tüzel kişilerin başlıca “aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması ve Kişisel Verileri Koruma Kurulunun (Kurul) kararlarının yerine getirilmesi olmak üzere bir dizi yasal yükümlülüğü yerine getirmesi zorunludur. Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Kararı’na‡ göre veri sorumluları kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

•           Veri sorumlusunun ve varsa temsilcisinin kimliği,

•           Kişisel verilerin hangi amaçla işleneceği,

•           Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

•           Kişisel veri toplamanın yöntemi ve hukuki sebebi,

•           6698 sayılı Kanunun11 inci maddede sayılan veri sahiplerine tanınan haklar ve bunların nasıl kullanılacağı.

Saygılarımızla,

Tuna Avukatlık ve Danışmanlık

 

Fashion ID Kararı’nın metni için bkz: https://curia.europa.eu/juris/liste.jsf?num=C-40/17

* C‑210/16 sayılı ve 5 Haziran 2018 tarihli karar, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ile Wirtschaftsakademie Schleswig-Holstein GmbH, paragraf 36. Karar metni için bkz: https://curia.europa.eu/juris/liste.jsf?num=C-210/16

† C-25/17 sayılı ve 10 Temmuz 2018 tarihli Yehova Şahitleri kararı, ECLI:EU:C:2018:551, paragraf 15.Karar metni için bkz: https://curia.europa.eu/juris/documents.jsf?num=C-25/17

‡“Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”ne ilişkin Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti. Metin için bkz: https://www.kvkk.gov.tr/Icerik/6874/2020-71

İlgili yazılar