IAB Europe / Gegevensbeschermingsautoriteit, C-604/22

IAB Europe / Gegevensbeschermingsautoriteit, C-604/22
Photo by Christian Lue / Unsplash

I. Olay
Interactive Advertising Bureaus Europe (‘IAB’), reklam ve pazarlama sektöründe faaliyet gösteren üyelerinin menfaatlerini temsil eden bir kuruluştur. IAB, Transparency&Consent Framework (‘TCF’) olarak nitelendirdiği ve talimat, yönerge, sözleşme ve teknik tedbirlerden oluşan, bir taraftan web sitesi sunucularına, diğer yandan veri brokerları ve reklam platformlarına pazarlama ve reklam süreçleri esnasında ilgili kişi kişisel verilerini hukuka uygun şekilde işleme imkânı sağlayan bir çerçeve sunmaktadır. Web sitesinde sunulan reklamların doğru kişilere ulaştırılmasını mümkün kılan ve arka planda gerçek zamanlı olarak farklı reklam sunucuların bir açık artırma sürecinde reklamlarını sunabildikleri “Real Time Bidding” (‘RTB’) yöntemini mümkün kılan OpenRTB protokollerinde TCF, süreçlerin GVKT’ye uygun şekilde yürütülmesini temin etmeyi amaçlamaktadır. Bu bağlamda reklam sunmak isteyen veri brokerları ve reklam platformları, web sitelerinde reklam için ayırılan yerlere reklam yerleştirebilmek için gerçek zamanlı açık artırma sürecine girmekte, ancak bunun için bir taraftan mevcut müşteri profillerini oluşturmak, diğer yandan da söz konusu profile uygun düşen müşterinin web sitesini ya da uygulamayı açtığı esnada ona uygun düşecek reklamı ilgili reklam alanına yerleştirmesi gerekmektedir. Bu sürecin hukuki açıdan gerçekleştirilebilmesi için ilgili kişilerin açık rızası temin edilmelidir. İlgili kişinin açık rıza verip vermediği, hangi kapsamda açık rıza verdiği, meşru menfaat kapsamında hangi işleme süreçlerine itiraz ettiği gibi bilgilerin bütün katılımcılarla paylaşılması gerekmektedir. Ancak bu sayede ilgili kişiye hangi kapsamda reklam ve pazarlama yapılabileceği Framework katılımcıları açısından tespit edilebilecektir. İşte bu amaçla IAB tarafından bir Açık Rıza Yönetim Platformu (Consent Management Platform – ‘CMP’) kurgulanmıştır. İlgili kişi web sitesi ya da uygulamayı açtığında pop-up şeklinde beliren pencerede kişiye açık rızasını verme, meşru menfaate dayalı süreçlere itiraz etme, açık rızasını geri alma gibi imkanlar sunulmaktadır. Kişinin bu tercihlerini tespit edebilmek, kaydedebilmek ve Framework katılımcılarıyla paylaşabilmek adına öncelikle bir şeffaflık ve rıza dizini (Transparency and COnsent String – ‘TC-String’) oluşturulmaktadır. Söz konusu dizin, harf ve rakamlardan oluşmakta, kişinin açık rıza ile meşru menfaate ilişkin tercihlerini içermekte ve Framework katılımcılarıyla paylaşılmaktadır. TC-String ile birlikte ayrıca kullanıcı cihazına Euconsent-v2 adında bir çerez yerleştirilmekte, CMP bu çerezi de kaydetmektedir. Çerez ile TC-String birleştirildiğinde kullanıcının IP-adresine tanımlama yapmak mümkün hale gelmekte, bu sayede kişinin tercihlerine göre kendisine reklam sunulabilmektedir.


II. Tartışılan Konular:
IAB, kendisinin değil, TCF-katılımcılarının TC-String’i IP adresiyle eşleştirme ve dolayısıyla kişisel veriye dönüştürme imkanına sahip olduklarını, TC-String’in kullanıcıya mahsus olmadığını ve kendisinin diğer katılımcılar tarafından işlenen verilere erişiminin söz konusu olmadığını belirtmiştir. Buna karşılık Belçika Veri Koruma Otoritesi, CMP’nin TC-String’leri IP adresleriyle eşleştirebildiğini, TCF katılımcılarının diğer veriler vesilesiyle de kullanıcıları belirli kılabildiklerini, IAB’nin kişileri belirlenebilir kılmak için ihtiyaç duyduğu bilgilere erişme imkanının mevcut olduğunu, ayrıca IAB’nin önemli bir konuma sahip olması sebebiyle veri sorumlusu olarak nitelendirilmesi gerektiğini savunmaktadır. Ön soru talebinde bulunan mahkeme ise IAB’nin TCF kapsamında ve özellikle TC-String’in işlenmesi açısından veri sorumlusu sıfatını haiz olup olmadığının tespit edilmesini talep etmiştir.

  1. TC-String kişisel veri midir?
    TC-String’in kişisel veri niteliğini haiz olup olmadığı noktasında Mahkeme öncelikle söz konusu dizinin harf ve rakamlardan oluştuğunu, bu dizinin oluşturulması, kaydedilmesi ve işlenmesine ilişkin esasların IAB tarafından belirlendiğini tespit etmiştir. Söz konusu dizin, web sitesi sunucuları ile reklam ve pazarlama şirketleri tarafından gerçekleştirilen veri işleme süreçlerine ilişkin ilgili kişilerin açık rıza tercihlerini içermekte, bu bilgiler, üye kuruluşların erişimine sunulmaktadır.
    Kişisel veri niteliği açısından Mahkeme, kişisel veri kavramının geniş yorumlanması gerektiğine ilişkin içtihatlarını tekrarlamış, özellikle verinin içeriği, amacı ve etkileri açısından belirlenebilir bir gerçek kişiyle bağdaştırılabildiği takdirde kişisel veri niteliğini haiz olduğuna ilişkin içtihadına atıfta bulunmuştur (Österreichische Datenschutzbehörde/CRIF, C-487/21, Kn. 23-24). Belirlenebilirlik bağlamında ise Divan yine eski içtihatlarına atıfta bulunmuş, bilhassa verinin kendisinden kişinin belirlenmesinin zorunlu olmadığını, makul imkanlar dahilinde erişilebilecek ek bilgiyle kişinin belirlenebilir kılınmasının yeterli olduğuna işaret etmiştir (Breyer, C-582/14, Kn. 41 ve Nacionalinis visuomenes sveikatos centras, C-683/21, kn. 58). Dolayısıyla kişiyi belirlenebilir kılmak için gereken her türlü verinin tek bir kişinin elinde bulunması zorunlu değildir (bir kez daha Breyer’a atıfla). Dolayısıyla kişisel veri, sadece veri sorumlusu tarafından elde edilen ve kaydedilen verileri kapsamamakta, bunun ötesinde kişisel verilerin işlenmesi sayesinde elde edilen ve kişiyi belirli ya da belirlenebilir kılan bütün verileri de kapsamaktadır (Pankki S, C-579/21, Kn. 45).
    TC-String ilgili kişinin açık rıza ve meşru menfaat itirazlarına ilişkin veriler içermektedir. Bu veriler ile ilgili kişinin doğrudan belirlenebilir kılınması mümkün olmasa dahi, ilgili kişinin tercihlerine ilişkin bilgi içermekte ve dolayısıyla GVKT md. 4 Nr. 1 bağlamında (information relating to an identified or identifiable natural person) gerçek kişiyle ilgili veri barındırmaktadır (Kn. 43). Diğer yandan TC-String IP adresi ile eşleştirildiğinde kullanıcının profili oluşturulabilmekte ve dolayısıyla fiilen gerçek kişi belirli kılınmaktadır. Dolayısıyla Divan’a göre TC-String, IP adresi ile birleştirildiğinde ilgili kişiyi belirlenebilir kıldığı için kişisel veri niteliğini haizdir ve bu bağlamda GVKT Dibace No. 30’da zikredilen durum söz konusudur.
    Mahkeme bu bağlamda özellikle IAB’nin TC-String’i IP adresiyle eşleştirme imkanının olmadığı savunmasını reddetmektedir. Bu bağlamda öncelikle Breyer kararına atıfta bulunan Divan, çerçeve sözleşmeye dahil olan katılımcıların, IAB’nin talebi üzerine TC-String’in konusu olan kullanıcı verilerini aktarmakla yükümlü oldukları gerçeğine işaret etmiştir. Dolayısıyla IAB, GVKT Dibace No. 26 kapsamında belirtildiği üzere ilgili kişiyi belirli kılabilecek ek bilgilere erişme ve bunları elde etme yetkisini haizdir (Kn. 49).
  2. IAB Europe Veri sorumlusu mudur?
    TCF’nin amacı, internetteki reklam alanlarının alınması ve satılması işlemelerinin farklı aktörler arasında teşvik edilmesi ve mümkün kılınmasıdır. Dolayısıyla IAB, TC-String’in oluşturulması vs. gibi ihtilaf konusu süreçler açısından kendi menfaatleri doğrultusunda da faaliyet göstermekte ve katılımcılar ile birlikte veri işleme amaçlarını belirlemektedir. Ayrıca Divan, ilerleyen kısımlarda IAB’nin teknik koşulları da belirlediğine işaret etmekte ve dolayısıyla IAB’nin diğer katılımcılarla ortak veri sorumlusu sıfatını haiz olduğuna hükmetmektedir. Ancak Divan, özellikle Planet49 kararında olduğu gibi söz konusu sorumluluğun bütün süreçlere ilişkin değil, sadece tarafların ortak amaçlarla hareket ettikleri süreçlere ilişkin olduğunu da tekrar etmiştir.

III. Değerlendirme
TC-String başlı başına kişisel veri midir? Divan, harf ve rakamlardan oluşan bu dizinin gerçek kişinin açık rıza ve meşru menfaate ilişkin tercihleri hakkında bilgi içerdiğini, bu durumun başlı başına dizine kişisel veri niteliği kazandırdığını savunmaktadır (Kn. 42). Aksinin kabul edilmesi halinde dahi dizinin salt kişinin tercihlerine ilişkin bilgi içermesi, Divan tarafından gerçek kişiyle ilgili bir bilgi olarak değerlendirilmektedir (Even if a TC String did not itself contain factors allowing the data subject to be identified directly, it would still be the case, in the first place, that it contained the individual preferences of a specific user regarding his or her consent to the processing of personal data concerning him or her, that information ‘relating to [a] … natural person’ within the meaning of Article 4(1) of the GDPR, Kn. 43). Son olarak Divana göre dizinin IP adresi ile eşleştirilmesi sayesinde kişi hakkında artık profil oluşturulması mümkün hale geldiği için kişi hakkında profil oluşturulabilmekte ve dolayısıyla kişi belirlenebilir hale gelmektedir.
Kanaatimizce bu değerlendirme eksik ve hatalıdır. Şöyle ki TC-String içerisinde bulunan tercihler her ne kadar gerçek kişilere ilişkin olsa da, bir verinin salt gerçek kişiye ait bilgiler içermesi yeterli değildir. Veri sorumlusunun bu bilgiler ve ek bilgiler vesilesiyle kişiyi tespit edebilmesi gerekmektedir. İşte bu noktada Divan, IAB’nin TCF kapsamında katılımcılardan aralarında akdettikleri sözleşmeye dayalı olarak ilgili kişilere dair her türlü bilgi talep etme yetkisini haiz olduğunu belirtmektedir. Dolayısıyla IAB, dilediği takdirde hukuki açıdan TCF-String ile IP adreslerini eşleştirme imkanına sahiptir. İşte Breyer kararında ifade edildiği üzere bu takdirde IAB’nin kişiyi belirlenebilir kılmak için gerekli imkanlara sahip olduğu kabul edilebilecektir. Kaldı ki Divan, Breyer kararına ek olarak Yahova Şahitleri ve Planet49 kararında da belirttiği üzere ortak veri sorumluları içtihatlarına göre de aynı sonuca varabilmektedir. Nitekim ilgili kararlarda veri sorumlusunun elinde bulunan bilgi, ancak diğer ortak veri sorumlusunun elindeki bilgiyle eşleştirildiğinde ilgili kişilerin belirlenmesi mümkündü. Divan içtihatlarında kişiyi belirlenebilir kılmak için gerekli olan bilginin bir ortak veri sorumlusunda olmasının yeterli olduğunu ilgili kararlarında belirtmişti. Hal böyle olunca her ne kadar IAB, doğrudan IP adreslerine erişemese de, ortak veri sorumlusu sıfatıyla diğer katılımcılardaki bilgi, IAB’ye de doğrudan isnat edilebilecektir. Ancak bu noktada da yine bir eksiklik söz konusudur. Nitekim Adalet Divanı, IP adresiyle eşleştirilmesi halinde dahi kişinin kimliğinin nasıl belirlenebilir kılınacağına dair herhangi bir açıklamaya yer vermemiştir. Acaba TC-String ve IP adresi eşleştirildiğinde ISP adresine de gerek olmaksızın kişinin kimliği belirlenebilir mi? Ya da katılımcılar kendi uhdelerindeki diğer ek bilgiler vesilesiyle kullanıcıları belirlenebilir kılabiliyor mu? Hatta TC-String içerisindeki harf ve rakamlar, salt kişinin tercihlerini içermesi sebebiyle kişinin kimliğine ilişkin bilgi de mi içermektedir? Yoksa IP adresine ulaşabilen herkes aynı zamanda ISP adresine de ulaşabilmekte midir? Bütün bu sorulara Divan tarafından herhangi bir cevap verilmemiştir. Oysa Divan, son olarak Gesamtverband Autoteile-Handel e. V./Scania CV AB (C-319/22) kararında araç şasi numarasının başlı başına kişisel veri olmadığını, ancak ek bilgilerle (ruhsat) kişinin tespit edilmesinin mümkün olması halinde kişisel veriden bahis açılabileceğine hükmetmişti. IAB Europe kararında ise bu çizgiden ayrılan Divan, kişinin tam olarak nasıl ve hangi bilgilerin eşleştirilmesi suretiyle belirlenebilir kılındığına ilişkin kanaatimizce açık bir cevap sunamamıştır. Yine de karar özellikle pazarlama sektörü açısından büyük önem arz etmektedir.