Avrupa Birliği Adalet Divanı'nın (ABAD) 4 Ekim 2024 tarihli C 446/21 Sayılı Kararı (Maximilian Schrems vs. Meta Platforms Ireland Ltd.) Özeti

Son güncellenme 
Avrupa Birliği Adalet Divanı'nın (ABAD) 4 Ekim 2024 tarihli C 446/21 Sayılı Kararı (Maximilian Schrems vs. Meta Platforms Ireland Ltd.) Özeti
Photo by Greg Bulla / Unsplash

Olay:

Tanınmış bir veri koruma aktivisti olan Maximilian Schrems, Meta Platforms Ireland Ltd. (eski adıyla Facebook Ireland Ltd.) aleyhine, kişisel verilerinin yasadışı bir şekilde işlendiği iddiasıyla dava açmıştır. Davanın merkezinde, Meta Platforms Ireland'ın Facebook kullanıcılarının kişisel verilerini, özellikle hem platform içinde hem de dışında toplanan verilerin birleştirilmesi yoluyla, kişiselleştirilmiş reklam amaçları için kapsamlı bir şekilde işleyip işleyemeyeceği sorusu bulunmaktadır.

Meta Platforms Ireland, sosyal ağ içerisindeki kullanıcı etkinliklerinin yanı sıra, üçüncü taraf sitelere entegre edilmiş çerezler, sosyal eklentiler (social plug-ins) ve pikseller (pixel) aracılığıyla kullanıcıların platform dışındaki faaliyetlerine ilişkin verileri toplamaktadır. Bu teknolojiler, şirketin kullanıcıların çevrimiçi davranışlarını kapsamlı bir şekilde takip etmesine ve hedefli reklamlar sunmak için profiller oluşturmasına olanak tanımaktadır.

Schrems, bu uygulamanın, Genel Veri Koruma Tüzüğü'nün (GDPR) 5(1)(c) maddesinde belirtilen veri minimizasyonu ilkesine aykırı olduğunu ve Meta Platforms Ireland'ın, ilgili kişinin açık rızası olmadan, özellikle cinsel yönelimiyle ilgili özel nitelikli kişisel verileri işlediğini, bunun da GDPR'nin 9. maddesine aykırılık teşkil ettiğini iddia etmiştir.

Taraftarın Argümanları:

  • Maximilian Schrems:

  • Kişisel verilerinin kişiselleştirilmiş reklamlar için işlenmesinin geçerli bir rızaya dayanmadığını ve kullanıcı sözleşmesinin ifası için gerekli olmadığını savunmuştur.

  • Gerekli veriler değil, mevcut tüm verilerin zaman sınırlaması olmaksızın ve türlerine bakılmaksızın işlendiği için, kapsamlı veri toplama ve işlemenin veri minimizasyonu ilkesine aykırı olduğunu ileri sürmüştür.

  • Meta Platforms Ireland'ın, ilgili kişinin rızası olmadan özel nitelikli verileri, özellikle cinsel yönelimiyle ilgili verileri işlediğini ve bunun GDPR'nin 9. maddesine aykırılık teşkil ettiğini belirtmiştir.

  • Meta Platforms Ireland Ltd.:

  • Kişisel verilerin işlenmesinin, kullanıcı sözleşmesinin ifası için gerekli olduğunu (GDPR 6(1)(b) maddesi) ve iş modelinin kişiselleştirilmiş reklamlara dayandığını savunmuştur.

  • Kullanıcıların hizmet koşullarını kabul ederek veri işlemeye rıza gösterdiklerini iddia etmiştir.

  • Veri işlemenin GDPR'nin ilkeleriyle uyumlu olduğunu ve herhangi bir ihlal olmadığını belirtmiştir.

Mahkemenin Kararı:

Her ne kadar ön soruda toplam dört adet soru olsa da, Divan'ın C‑252/21 kararı doğrultusunda birinci ve üçüncü sorulara cevap vermeye gerek kalmadığı için Divan, bu kararında sadece ikinci ve dördüncü sorulara ilişkin karar vermiştir.

İkinci Soruya İlişkin (Veri Minimizasyonu İlkesi):

Mahkeme, Meta Platforms Ireland'ın uygulamasının veri minimizasyonu ilkesiyle uyumlu olup olmadığını incelemiştir:

  • Veri Minimizasyonu İlkesi (GDPR 5(1)(c) Maddesi): Kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve gerekli olanla sınırlı olmalıdır.
  • Orantılılık: Mahkeme, kişisel verilerin işlenmesinin her zaman orantılı olması ve yalnızca belirli amaç için gerekli olan verileri içermesi gerektiğini vurgulamıştır.
  • Meta Platforms Ireland'ın Veri İşleme Kapsamı: Mevcut tüm kişisel verilerin, zaman sınırlaması olmaksızın ve verilerin türlerine bakılmaksızın işlenmesi uygulaması, orantısız ve veri minimizasyonu ilkesiyle uyumsuz olarak değerlendirilmiştir.
  • Temel Haklara Müdahale: Bu kadar kapsamlı bir veri işleme, ilgili kişilerin temel haklarına, özellikle de Avrupa Birliği Temel Haklar Şartı'nın 7 ve 8. maddelerine göre özel hayatın gizliliği ve kişisel verilerin korunması hakkına ciddi bir müdahale teşkil etmektedir.

İkinci Soruya İlişkin Sonuç:

Mahkeme, GDPR 5(1)(c) maddesine göre veri minimizasyonu ilkesinin, Meta Platforms Ireland gibi bir veri sorumlusunun tüm kişisel verileri zaman sınırlaması olmaksızın ve türlerine bakılmaksızın hedefli reklam amaçları için birleştirmesine, analiz etmesine ve işlemesine engel olduğuna hükmetmiştir. Bununla birlikte orantılılık noktasında kesin bir kanaate varması için önsoruyu yönelten mahkemenin inceleme yapması gerektiğine de işaret etmiştir.

Dördüncü Soruya İlişkin (Özel Nitelikli Kişisel Verilerin İşlenmesi):

Schrems'in kendi cinsel yönelimi hakkında kamuya açık bir etkinlikte açıklama yapmasının, Meta Platforms Ireland açısından cinsel yönelimle alakalı kişisel veri işlemesine hukuki bir dayanak teşkil edip etmeyeceği noktasında Divan aşağıdaki tespitlerde bulunmuştur:

  • Özel Nitelikli Kişisel Verilerin İşlenmesinin Kural Olarak Yasak Olması (GDPR 9(1) Maddesi): Bu tür verilerin işlenmesi kural olarak yasaktır.
  • GDPR 9(2)(e) Maddesine Göre İstisna: Bununla birlikte ilgili kişinin söz konusu verileri alenileştirmesi halinde bunların işlenmesi mümkün hale gelecektir. Bununla birlikte alenileştirme de bir istisna hükmü olması sebebiyle dar yorumlanmalıdır. Dolayısıyla istisna hükmü, kişinin iradesi de dikkate alınarak dar yorumlanmalı, bilhassa başka kaynaklardan elde edilen aynı kategorideki diğer verilerin işlenmesine dayanak teşkil etmemelidir. Dolayısıyla Schrems'in cinsel yönelimi hakkında kamuya açık bir etkinlikte açıklama yapmış olması, Meta Platforms Ireland'a platform dışındaki üçüncü taraflardan elde ettiği cinsel yönelimiyle ilgili diğer verileri işlemesi için hukuki bir dayanak sağlamamaktadır.

Dördüncü Soruya İlişkin Sonuç:

Mahkeme, GDPR 9(2)(e) maddesinin, kişinin kendi cinsel yönelimi hakkında kamuya açık bir açıklama yapmasının, platform operatörüne bu yönelimle ilgili başka verileri işlemesine, bu verileri birleştirip analiz etmesine ve kişiselleştirilmiş reklam amaçları için kullanmasına izin vermediğine hükmetmiştir.

Değerlendirme:

Schrems ile Meta arasındaki maçın bir sonraki roundunu da yine Schrems kazanmış gibi gözüküyor. Kararı özellikle Divan'ın Meta'nın kullanıcı sözleşmesi bağlamında verdiği ve kararda da atıfta bulunulan C‑252/21 kararıyla birlikte okumak gerekecektir. Bu bağlamda kişisel veri işlemenin, özellikle kişiselleştirilmiş reklamın, bir iş modeli olması halinde ekonomik gerekliliklerin, sözleşmenin ifası için gerekli/zorunlu bir unsuru olarak kabul edilmeyeceği açıkça belirtilmektedir. Bunun ötesinde Divan, bu sonucu, işbu karar vesilesiyle veri minimizasyonu ilkesi açısından da bir kez daha tasdik etmektedir. Bu açıdan bakıldığında özellikle profilleme faaliyetleri için artık tek hukuki dayanağın açık rıza olduğunu söylemek imkân dahilinde olacaktır. Bununla birlikte yine pay-or-consent modellerinin de geçerliliğine şüpheyle yaklaşmak gerekecektir. Öte yandan bilhassa pay-or-consent modellerinde veri koruma hukukunun amacının fiyat kontrolü değil, kişisel verilerin korunması olduğunu belirten haklı eleştirileri de göz ardı etmemek gerekecektir.

Ayrıca bu kararda da özel nitelikli kişisel veri kavramının geniş yorumlanması gerektiğine bir kere daha vurgu yapılmaktadır. Nihayet aleni veriden bahis açabilmek ve aleni veri işleme hukuki sebebine dayanabilmek için kişinin alenileştirme iradesinin titizlikle incelenmesi gerekecektir. Bu hususun özellikle web scraping uygulamaları açısından ciddi sorunlara sebebiyet vereceği noktasında şüphe yoktur.