Bu gelişme karşısında ilk olarak GDPR’ın tam anlamıyla ayağının tozuyla hızlı bir giriş yaptığı söylenebilir. Gerçekten henüz yürürlüğe girmesi üzerinden bir yıl bile geçmemiş olan GDPR hükümlerinin ihlal edildiği gerekçesiyle Fransız yetkililer tarafından Google’a verilen 50 milyon Euro’luk idari para cezası bunu göstermektedir. Böylece GDPR yürürlüğe girdiğinden bu yana ilk ana ihlal gerçekleşmiş olmuş ve buna GDPR’da düzenlenen idari para cezası uygulanmıştır.

Kişisel verilerin hızla boyut değiştirdiği günümüzde, 95/46/EC sayılı AB Veri Koruma Direktifi’nde benimsenen ilkelerin modernize edilmesi ve kişisel hakların günümüz şartlarına uygun bir biçimde güvence altına alınması amacıyla kapsamlı bir yeniliğe gidilmesi ihtiyacı ortaya çıkmıştır. İşte tam olarak bu ihtiyacı gidermek amacıyla Avrupa Parlamentosu tarafından 24 Mayıs 2016 tarihinde Direktif’in yerine geçmek üzere GDPR kabul edilmiştir. Regülasyon için iki yıllık bir geçiş süresi belirlenmiş ve uygulama tarihi 25 Mayıs 2018 olarak öngörülmüştür. Dolayısıyla GDPR henüz uygulanmaya başlamıştır.

GDPR, kişisel verilerin korunması alanında en güncel ve en sıkı şartlara sahip hukuki metin olup yayınlandığı tarihten bu yana Avrupa Birliği ülkeleri kendilerini bu şartlara hazırlamaktaydılar. Direktif’ten farklı olarak tüm Avrupa Birliği ülkelerinde doğrudan ve aynen uygulanacak olması, bölgesel kapsamın oldukça genişletilmesi ve idari para cezası üst sınırlarının çok yüksek öngörülmüş olması GDPR’ın en fazla öne çıkan ve tedirgin edici özellikleriydi.

Nitekim yaşanan tedirginliklerin haklı olduğu, henüz yürürlüğe girmiş olmasına rağmen Google gibi büyük bir şirkete çok yüksek bir cezanın verilmesiyle gözler önüne serilmiştir. GDPR’ın bölgesel kapsamı nedeniyle Türkiye açısından da önemi, niteliği ve Avrupa Birliği üyesi ülkeleri, Avrupa Birliği üyesi ülkelerin vatandaşları ve hatta burada yaşayan kişiler ile kurulan her temasta, söz konusu olan her kişisel veri işleme faaliyetinin GDPR hükümlerine tabi olduğu unutulmamalıdır. Dolayısıyla Türkiye’de yerleşik olsa da uluslararası alanda faaliyet gösteren şirketler bu konuda dikkatli olmalı ve 6698 sayılı Kanun’dan daha üst seviye bir koruma öngören GDPR hükümleri ile uyumlu olmaya çalışmalıdır.

Nitekim bunun farkında olan şirketler uyumluluk projelerinin yalnızca Kanun’a değil aynı zamanda GDPR hükümlerine göre de yapılmasını ve bu süreç sonunda GDPR ile de uyumlu olmayı talep etmektedirler. Bu nedenle öncelikle söz konusu cezanın da aracılığıyla Türkiye’de bulunan ve GDPR kapsamına dahil olan şirketleri uyarmak ve bu konuda dikkatli olmaları gerektiğini belirtmek istiyorum.

1. Fransa Tarafından Google’a Verilen İdari Para Cezası

a. Google hakkında başlatılan inceleme süreci

Google hakkında yapılan inceleme iki grup gizlilik savunucusu tarafından 25-28 Mayıs 2018 tarihlerinde birtakım şikayetlerin gündeme getirilmesiyle başlamıştır. Her iki kuruluş da, Google’ın, kullanıcıların kişisel verilerini işlemek için geçerli yasal bir temele sahip olmadığını, bunun özellikle reklamcılığın kişiselleştirilmesi amacıyla yapıldığını iddia etmiştir. Bu şikayetler karşısında Fransa’nın en büyük veri koruma otoritesi olan CNIL (Commission Nationale de l'Informatique et des Libertés), hemen harekete geçmiş ve GDPR’ın uygulamada olduğu sırada Google hakkında soruşturma ve inceleme başlatmıştır.

Söz konusu gizlilik savunucularının ayrıca diğer Avrupa Birliği üyesi ülkelerde de Facebook ve iştirakleri, fotoğraf paylaşım uygulaması Instagram ve mesajlaşma servisi Whatsapp hakkında da ek gizlilik şikayetleri sundukları belirtilmiştir. Dolayısıyla söz konusu şirketler hakkında da incelemelerin başlatıldığı ve veri ihlalinin tespit edilmesi halinde, büyüklükleri göz önünde bulundurulduğunda yüksek idari para cezalarının verilmesi olasılığının söz konusu olduğu söylenebilir.

Yapılan inceleme sonucunda, CNIL yaptığı incelemeyi ve bulgularına ilişkin bir açıklama yapmıştır[1]. CNIL, bu inceleme sırasında diğer Birlik üyelerinde bulunan veri koruma otoriteleriyle sıklıkla temasların kurulduğuna ve bilgi alışverişlerinin gerçekleştiğine değinmiştir. Bununla birlikte yeni uygulamaya göre, tüm Birlik koruma otoriteleri gibi, kendisinin de Google tarafından yapılan uygulamalar hakkında karar almaya yetkili olduğunu belirtmiştir.

CNIL, şikayetleri araştırmak için Eylül ayında bir çevrimiçi kontrolün gerçekleştiğinden söz etmiştir. Bu kontrolün amacını, bir kullanıcının yolculuğunu ve bir Google hesabı oluşturmakla erişilebilecek belgelerin tespitini yapmak olarak açıklamıştır. Böylece Google’ın kişisel verilerin işlenmesine ilişkin Fransız ulusal yasalarına ve GDPR’a uyumu doğrulanabilecektir.

Google, Avrupa Birliği kurallarına uyumlu hale gelmek için son olarak birtakım değişikliklerde bulunmuştur. Buna rağmen, CNIL, gözlenen ihlallerin hala çok büyük miktarda veriye dayandığından, sınırsız olası kombinasyonla kullanıcıların özel hayatlarına ilişkin bilgilerin ortaya çıkabileceğini belirtmiştir. Google, kullanıcılara ait kişisel bilgilerin nasıl toplandığını ve nelerden oluştuğunu tam olarak açıklayamamıştır.

Oysaki GDPR ve diğer Avrupa Birliği veri koruma yasalarına göre, bir teknoloji şirketi, kullanıcılara, topladıkları kişisel verilerin tam ve net bir resmini sunabilmelidir. Ayrıca kullanıcıların kişisel verilerinin kullanılmasına rıza göstermeleri için basit, anlaşılır ve amaca özel araçlar sunulmalıdır.

Google buna cevap olarak sonraki adımlarının kararı incelemek olduğunu ifade ettikten sonra şu şekilde eklemiştir:

“İnsanlar bizden yüksek standartlar şeffaflık ve kontrol bekliyor. Bu beklentileri ve GDPR'ın rıza gerekliliklerini yerine getirmeye derinden bağlıyız.”

b. İnceleme sonunda Google hakkında tespit edilen eksiklikler

CNIL, yaptığı inceleme sonucunda Google hakkında GDPR ile öngörülmüş olan iki temel yükümlülüğe ilişkin eksiklik tespit etmiştir:

i. Bilgilendirme yükümlülüğü

CNIL’a göre Google tarafından sağlanan bilgiler kullanıcılar tarafından kolayca erişilebilir durumda değildir. Şirket tarafından ilk etapta görülmek üzere seçilen bilgiler arasında, verilerin işlendiği amaçlar, veri saklama süresi ve reklamcılığın kişiselleştirilmesi için kullanılan veri kategorileri gibi önemli bilgilerin yer almadığını tespit etmiştir. Bu bilgiler, birçok seçenek ve bağlantı arasında dağılmış durumdadır. Üstelik ek bilgileri okumak için bu ayarın özellikle etkinleştirilmesi gerekir. İlgili belgelere birkaç adımdan sonra, beş veya altı işlem yapılarak erişilebilmektedir. Örneğin, bir kullanıcı, reklamların kişiselleştirilmesine ilişkin bilgilerin toplanması hakkında bilgi edinmek istediğinde söz konusu adımları gerçekleştirme durumuyla karşı karşıyadır. Ayrıca zaten ilgili bilgilere ilişkin olarak sınırlı bir biçimde verilen eğitim, içerik olarak da net ve anlaşılabilir nitelikte bulunmamıştır.

CNIL, bu nedenlerle kullanıcıların Google tarafından gerçekleştirilen işlemlerin kapsamını anlamadığını belirtmiştir. Ancak bu işlemler nedeniyle çok büyük veri işleme faaliyetinin gerçekleştirildiğini ve bunların çok genel ve belirsiz şekilde tanımlandığını düşünmektedir. Öte yandan sınırlı olarak verilen bilgilendirmede bazı verilerin saklama süresinin de belirtilmediği tespit edilmiştir.

GDPR, bireylerin bilgilendirme yükümlülüğünü hem şeffaflık ilkesi altında hem de ayrıca ele almıştır. Veri işlemeyle ilgili her türlü bilgi ve iletişim, açık ve sade bir dil kullanılarak veri öznesi için kolay erişilebilir ve kolay anlaşılabilir olmalıdır[2].

ii. Şeffaflık ve açıklık

CNIL, şeffaflık ve açıklık konusundaki eksilikleri özellikle kişiselleştirilmiş reklamcılık uygulamaları bağlamında ele almıştır. Tespit ettiği eksiklikler nedeniyle de Google’ın bu kapsamdaki uygulamalarının yasal bir temele dayanmadığı görüşündedir.

Google, kişiselleştirilmiş reklamcılık uygulamaları için kullanıcıların onayını almakta ve bu yönde hareket etmektedir. Ancak CNIL bu onayın geçerli olmadığı kanaatindedir. İlk olarak yukarıda bahsedilen genel olarak geçerli olan bilgilendirme yükümlülüğünün ihlalinin bu açıdan da söz konusu olduğuna değinmiştir. Kullanıcıların, onaya ilişkin yeterince bilgilendirilmediğini ve bu noktada kullanılan bilgilerin büyüklüğünün farkına varmalarına izin vermediğini ifade etmiştir. Örneğin, reklamların özelleştirilmesi bölümünde, bu hizmetlere dahil olan Google arama, Google Play, Google home, Google maps, Google Play Store, Google photo gibi diğer pek çok hizmetten, siteden ve uygulamadan haberdar olmanın mümkün olmadığını belirtmiştir. Ancak burada işlenen ve birleştirilen çok büyük sayıda veri söz konusudur.

CNIL, alınan onayın geçerli olmadığını ikinci olarak onayın, spesifik, açık, belirli ve şeffaf olmadığı gibi nedenlere dayandırmaktadır. Kullanıcıların hesap oluştururken, “daha fazla seçenek” düğmesini tıklayarak hesapla ilişkili parametrelerin bazılarını değiştirme imkanının varlığını kabul etmekle beraber bunun GDPR hükümlerine uygun olmadığını belirtmiştir. Bu ayarların düzeltilmesi için daha fazla seçenek düğmesiyle yapılacak değişikliklerden başka ayrıca varsayılan ayarların da önceden kontrol edilmesi gerektiğine değinmiştir. Öte yandan hesabın oluşturulmasından önce, hesabın oluşması için kullanıcıdan, “Google’ın kullanım koşullarını kabul ediyorum.” ve “Bilgilerimin yukarıda ayrıntılı bir şekilde açıklandığı şekilde kullanıldığını kabul ediyorum” şeklinde bir beyan alındığına dikkat çekilmiştir. Ancak bu tür bir yöntem kullanıcının, Google tarafından bu beyana dayanarak kişisel veri işleyeceği reklamların kişiselleştirilmesi, ses tanıma gibi amaçlar da dahil olmak üzere tüm amaçlar için bir blok onay vermesine neden olmaktadır.

Oysaki GDPR, amaca özel onay alınmasını kabul etmiştir ve bu da her amaç için ayrı ayrı onay alınmasını gerektirir. Verilerin belirli ve açık amaçlara yönelik olarak toplanması ve işlenmesi bunu gerektirir. Bu ilkenin gereği gibi yerine getirilebilmesi için veri işleme faaliyetine başlamadan önce ilk olarak, hangi verilerin işlenip işlenmeyeceği, işlenecek olan verilerin ise hangi amaçlar doğrultusunda işleneceği belirlenmelidir. Belirlenen amaç, veri öznesinin anlayabileceği açıklıkta olmalı ve o şekilde açıklanmalıdır[3].

Ayrıca şeffaflık, GDPR ile Direktif’ten farklı olarak getirilmiş olan önemli bir yeniliktir. Şeffaflık ilkesinin sağlanabilmesi, veri öznesinin veri sorumlusunun kimliği ve işlemenin amaçları hakkında bilgilendirilmesi, veri işleme amaçları ve veri işlemenin riskleri, kuralları ve işleme faaliyetleriyle ilgili haklarına ilişkin bilgilendirmeyi de içeren kişisel verilerin işlendiği her amacın açık ve bilgilendirmeye dayanmasını gerektirir[4]. Dolayısıyla şeffaflık ilkesinin bilgilendirme yükümlülüğü ile doğru orantılı olduğu ve yetersiz ve sınırlı bir bilgilendirmeye dayanarak gerçekleştirilen bir kişisel veri işleme faaliyetinin aynı zamanda şeffaf da olamayacağı söylenebilir.

c. Google Hakkında Verilen Yaptırım Kararı

CNIL, Google hakkında tespit ettiği ihlaller nedeniyle 50 milyon Euro miktarında idari para cezası uygulanmasına hükmetmiştir. Bu karar, CNIL açısından da GDPR ile getirilen üst düzey idari para cezalarını ilk kez uyguladığı bir cezayı içermektedir. CNIL, uygulanmasına karar verdiği idari para cezasının, miktar olarak GDPR’ın bilgi yükümlülüğü, şeffaflık ve rıza gibi temel ilkelerinin ihlal edilmesinin ağırlığı ile orantılı olduğunu açıklamıştır.

Zira Google tarafından uygulanan birtakım önlemlere rağmen tespit edilen eksiklikler, kullanıcıların tüm mahremiyetini ortaya çıkarabilecek nitelikte olup kullanıcıları konuya ilişkin temel garantiden mahrum bırakmaktadır. CNIL, Google’ın kullanıcıların, verileri üzerinde kontrol sahibi olduğu, yeterince bilgilendirilmiş olduğu ve geçerli bir rıza gösterebilecek bir pozisyonda olmaları gerektiğini belirtmiştir.

Ayrıca bu ihlalin belli bir zamanla sınırlandırılmış bir anda tespit edilmediğini, bu eksikliklerin bugüne kadar devam etmekte olduğunu eklemiştir.

d. Karar Sonrası Gelen Tepkiler

Şüphesiz kararın en çok dikkati çeken yönü GDPR uyarınca çok büyük bir veri ihlalinin tespit edilmesidir. Ayrıca ihlal kararı ABD’ye ait en büyük teknoloji şirketi olan Google hakkında verilmiş ve kararla çok büyük bir idari para cezasına hükmedilmiştir. Dolayısıyla karar birçok kesim tarafından yorumlanmıştır.

GDPR’ın yürürlüğe girmesiyle beraber kurulan ve gizlilik ihlalleriyle ilgili projeleri yürüten Noyb (None of Your Business)’un başkanı Max Schrems, Avrupa veri koruma otoritelerinin, yasaların açıkça ihlal edilmesini cezalandırmak için GDPR’ın getirdiği imkanları kullanmalarından dolayı çok memnun olduklarını belirtmiştir. Ona göre kararın, yetkili makamların sadece uygun olduklarını ifade etmelerinin yeterli olmadığını belirtmesi oldukça önemlidir.

Bu noktada GDPR ile getirilen gerçekten önemli bir kurala değinilmiştir. GDPR, ulusal kanunumuz olan 6698 sayılı Kanun gibi çoğu ulusal kanunda olmayan bir şekilde ayrıca “hesap verilebilirlik” ilkesini benimsemiştir. Buna göre veri sorumluları GDPR ile öngörülen ilke ve kurallara uymak zorunda ve ayrıca bu sorumlulukları yerine getirdiklerini de gösterebilmelilerdir[5].

Dünya çapında kullanıcıların dijital özgürlükleri ile ifade özgürlüğü haklarını savunan bir organizasyon olan Acces Now’dan veri koruma uzmanı Estelle Massé de benzer yönde açıklamalar yaparak GDPR’ın uygulanmasına dikkat çekmiştir. Kararı, Avrupa’nın GDPR’ı uygulama konusundaki istekliliğine yönelik ilk büyük işaret olarak değerlendirmiştir. Ayrıca diğer şirketlerin de Google’a benzer uygulamalarda bulunduklarına dikkat çekerek teknoloji şirketlerinin para cezalarıyla karşı karşıya kalacağını belirtmiştir.

ABD’de bulunan Elektronik Gizlilik Bilgi Merkezi Genel Müdürü Marc Rotenberg, Washington’un en büyük gizlilik ve güvenlik denetmeni olan Federal Ticaret Komisyonu’nun neden bu kadar uzun zamandır teknoloji şirketlerine karşı harekete geçemediğinden şikayet ederek bunun şu an için büyük bir sorun olduğunu dile getirmiştir.

Hükmedilen idari para cezası bakımından ise özellikle tüketici hakları savunucuları tarafında cezanın düşük olduğu yönünde eleştiriler yapılmış ve Fransa’nın yeterince ileri gitmediğinden şikâyet edilmiştir. Nitekim Google hakkında incelemeyi başlatan şikayetlerde bulunan gruplardan biri olan La Quadrature du Net, cezanın Google’ın yıllık cirosuyla karşılaştırıldığında çok düşük olduğunu belirtmiştir.

Sonuç

Karar, her şeyden önce GDPR’ın uygulanarak yaptırım kararı verilmiş olması bakımından önem arz etmektedir. Tespit edilen ihlallerin niteliği ve ilgili olduğu temel ilkeleri yukarıda belirtmiş olduğumdan, bu noktada yalnızca bir Avrupa veri koruma otoritesi tarafından GDPR’ın uygulanarak ihlal ve idari para cezası yaptırımı kararı vermiş olması üzerinde durmak istiyorum.

Yukarıda da belirtildiği gibi 24 Mayıs 2016 tarihinde kabul edilen GDPR, kişisel verilerin korunması ve gizliliği bakımından çok sıkı şartlar getirmiş ve geçiş süreci olarak öngörülen iki yıllık süre içerisinde özellikle Avrupa Birliği üyesi ülkelerde bulunan şirketlerde GDPR ile uyum sağlama çalışmaları yapılmıştır. Bu durum çok büyük miktarda veri kullanan teknoloji şirketleri açısından daha büyük bir zorunluluktur. Nitekim Google da yeni veri koruma kurallarına göre birçok güncelleme yapmış ancak bu güncellemeler veri koruma otoriteleri tarafından GDPR ile uyumluluk için yeterli görülmemiştir.

Bu durum, Avrupa Birliği üyesi ülkelerinin GDPR’ı uygulamak konusunda taviz vermeyeceklerine işaret etmektedir. Dahası her ne kadar bazı çevreler tarafından az bulunsa da verilen idari para cezası miktar bakımından da veri sorumlularını düşündürmelidir. Dolayısıyla karardan ilk anlaşılması gereken, bir şikâyet karşısında yapılacak incelemede GDPR hükümlerinin sıkı sıkıya uygulanacağı ve özellikle temel ilkelerin ihlal edilip edilmediği üzerinde önemle durulacağıdır. İnceleme sonucunda bir ihlal tespit edilmesi halinde ise veri koruma otoriteleri olarak, yaptırım uygulamaktan kaçınılmayacağı ve idari para cezasının caydırıcı nitelikte olacağıdır.

Bu nedenle, yukarıda da belirtmiş olduğum gibi Türkiye’de bulunan ve özellikle de uluslararası alanda yoğun faaliyet gösteren şirketlerin de “Nasılsa Avrupa Birliği üyesi ülkesi değiliz, GDPR bize uygulanmaz” gibi bir bakış açısından kaçınarak dikkatli olmaları gerektiği yönünde uyarmak istiyorum. Zira GDPR hiç de düşünüldüğü gibi klasik tarzda uluslararası bir düzenleme olmayıp uygulanacağı kapsamı Avrupa Birliği coğrafi sınırlarından çok daha geniş bir şekilde öngörmüştür. Avrupa Birliği üyesi ülkelerle yoğun ekonomik ve ticari faaliyet gösteren Türkiye’nin de GDPR’dan etkileneceği açıktır. Bu nedenle özellikle hali hazırda AB ülkeleri ile ticari faaliyetlerde bulunan şirketlere, yalnızca 6698 sayılı Kanun ile uyumlu olmakla yetinmeyip; Kanun’dan çok daha sıkı şartlar öngörmüş olan GDPR ile de uyumlu hale gelmek üzere somut adımlar atmalarını öneriyorum.

.

Doç. Dr. Murat Volkan Dülger*

.

-----------------------------------

* Akademisyen / Avukat.

[1] CNIL tarafından yapılan açıklamanın tamamı için bkz: https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la.

[2] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, İstanbul, Hukuk Akademisi, 2019, s. 115.

[3] Dülger, s. 117.

[4] Dülger, s. 115.

[5]     Dülger, s. 139.