Bilişim Hukuku – Bilişim Ceza Hukuku – Ceza Hukuku – İş Hukuku

TürkçeالعربيةEnglishDeutschРусский

Fransa’dan Google’a 50 Milyon Euro’luk Kişisel Veri Cezası

Fransa’dan Google’a 50 Milyon Euro’luk
 İdari Para Cezası

GOOGLE, daha önce “None Of Your Business” ve “La Quadrature du Net” isimli derneklerin hakkında yapmış oldukları suç duyurularından sonra bu kez Fransa’da kişisel verilerin gizliliğini kontrol eden resmi bir kurum olan CNIL (Fransa Ulusal Bilişim ve Özgürlükler Komisyonu) tarafından denetlenmiştir. CNIL tarafından yapılan araştırma neticesinde GOOGLE şirketine, şirketin Genel Veri Koruma Tüzüğü (GDPR) kapsamında kullanıcılarını kişisel verilerinin kullanımı hakkında yeterince açık şekilde bilgilendirmediği, GDPR tarafından öngörülen şeffaflık seviyesine ulaşılmadığı, reklamların kişiselleştirilmesi konusunda kullanıcılarından geçerli bir rıza almadığı gerekçeleriyle toplamda 50 milyon Euro ceza verildi.

GDPR, Avrupa Birliği kapsamında 25 Mayıs 2018’de yürürlüğe giren kişisel verileri koruma konusunda alınması gereken tedbirler ve yaşanabilecek ihlallere yönelik yapılması öngörülen uygulamaları kapsayan bir düzenlemedir. CNIL ise GDPR kapsamında öngörülen tedbir ve kuralların uygulanıp uygulanmadığının detaylı denetimini yapmaktadır. Aynı zamanda bugüne kadar GOOGLE şirketine yüklü miktarda ceza veren ilk kurum olmuştur. Bu cezanın sebebi ise, CNIL tarafından yapılan araştırmalar sonucunda iki önemli eksiklik tespit edilmiş olmasıdır. Bunlardan birisi şeffaflık ve aydınlatma yükümlülüklerinin olması gerektiği gibi yerine getirilmemesi, diğeri ise reklamların kişiselleştirmesine ilişkin yasal bir temel oluşturmamaktır.

  • Şeffaflık ve aydınlatma yükümlülüklerinin olması gerektiği gibi yerine getirilmemesi

GOOGLE tarafından aydınlatma yükümlülüğü kapsamında sağlanan bilgilerin kullanıcılar tarafından kolayca erişilebilir olmaması verilen idari para cezasının temel sebeplerinden birisidir. CNIL tarafından yapılan araştırmaya göre herhangi bir kullanıcının GDPR kapsamında öngörülen aydınlatma yükümlülüğüne uygun olarak sağlanması gereken bilgilere ulaşması için birçok aşamadan geçmesi gerekiyor.  Aydınlatma yükümlülüğü ve şeffaflık kapsamında “verilerin işlendiği amaçlar, saklanma süreleri ve reklamcılığın kişiselleştirilmesi için kullanılan veri”vs gibi kullanıcıların rahatça erişebilecekleri başlıklar var olması gerekirken GOOGLE şirketi bu bilgileri birçok bağlantı arasında dağıtmış durumdadır. Bununla birlikte, ek bilgileri okumak isteyen bir kullanıcının bu özelliği ayrıca etkinleştirmiş olması gerekmektedir. Bu durumda söz konusu bilgilere birçok işlem yapılmak suretiyle anca erişilebilmektedir.  CNIL’e göre ulaşılan bu bilgiler de oldukça yetersiz olup, net ve anlaşılabilir nitelikte değildir. Örneğin toplanan bazı verilerin ne kadar süreyle saklandığına ilişkin bilgiler bulunmamaktadır. Kullanıcılar GOOGLE tarafından hangi verilerinin toplandığını, ne amaçla işlendiğini, ne kadar saklandığını kısaca kişisel verileri ile hangi işlemlerin yapıldığını anlamamaktadır. GOOGLE şirketinin kullanıcılara sağlamakla yükümlü olduğu bilgileri bu derece zor erişilebilir yapması GDPR kapsamında aranan şeffaflık seviyesine uymamaktadır. GDPR uyarınca kullanıcıların işlenen her türlü verisine ilişkin elde edilmiş olan bilgiler, açık ve sade bir dil kullanılarak belirtilmiş olmalıdır. Bu durumda kişisel verileri elde edilen kullanıcıların bu bilgilere kolay, açık ve şeffaf bir şekilde erişebilmesi gerekmektedir.

  • Reklamların Kişiselleştirmesine İlişkin Yasal Bir Temel Oluşturmama

GOOGLE, reklamların kişiselleştirilmesi konusunda kullanıcılardan aldığı onaya güvenmektedir. Fakat CNIL, söz konusu rızanın iki farklı sebepten dolayı geçersiz olduğunu belirtmiştir.

→İlk olarak, CNIL’e göre “kullanıcıların onayı” hususu yeterince açık değildir.Kullanıcılar tam olarak neye onay verdiklerinin farkında değildirler. “Reklamların özelleştirilmesi” konusunda kullanıcıların verdiği rızanın kapsamının belli olmadığını, GOOGLE şirketine dahil olan çok sayıda hizmet, site, uygulama (GOOGLE Search, GOOGLE Play, GOOGLE home, GOOGLE maps, GOOGLE Play Store, GOOGLE photos gibi…)  olduğunu ve kullanıcıların da bu uygulamaların tümünden haberdar olmasının mümkün olmadığını belirtmiştir.

Gerçekten de günümüzde GOOGLE üzerinden yapılan her işlemin kaydediliyor olması, kişisel verilerimizin çok kolay bir şekilde sirküle olabilmesine yol açmaktadır. Örneğin; GOOGLE şirketinin mail hizmeti (gmail) aracılığıyla iletişime geçmiş olduğunuz bir kullanıcının doğum günü otomatik olarak mail hizmeti içerisinde yer alan GOOGLE takvim uygulamasına eklenmektedir. Hiçbir müdahaleniz olmaksızın yapılan bu ekleme, yıllar önce yalnızca bir kez mail yoluyla iletişime geçtiğiniz bir kullanıcının kişisel verisinin günümüzde hala sizin takviminizde yer alması sonucunu doğurmakta olup, özellikle GDPR kapsamında açık bir ihlal oluşturmaktadır.

İkincisi, sağlanan kısıtlı bilgiye bakıldığında alınan iznin “spesifik” ve “açık” olmaması yine alınan rızanın geçersiz olduğunu göstermektedir.

Her ne kadar kullanıcılar hesap oluştururken “Hesap oluştur” düğmesinden önce bulunan “daha fazla seçenek” düğmesini tıklayarak hesapla ilişkili ayarların bazılarını değiştirip kişiselleştirilmiş reklamlar için gösterim modlarını ayarlama imkanına sahip olsalar da  CNIL bunun GDPR şartlarını yerine getirmeye yeterli olmadığını belirtilmiştir. Çünkü kullanıcılar “daha fazla seçenek” butonuna basıp bu ayarı kontrol etmedikleri sürece GOOGLE tarafından varsayılan biçimde, otomatik olarak reklamların kişiselleştirilmesi uygulamasına tabi tutulmaktadır.

CNIL kararında rızanın GDPR uyarınca “tek taraflı” olması gerektiğini de belirtmiştir. Bununla, yalnızca kullanıcı olumlu bir hareket gerçekleştirmesi sonucunda (örneğin işaretli olmayan bir kutuyu işaretleme gibi ona verdiğini gösteren bir işlem) rızasının geçerli olacağı anlaşılmaktadır. Ayrıca kullanıcıların hesaplarını oluşturmadan önce son olarak, “GOOGLE’ın kullanım koşullarını kabul ediyorum”ve “Bilgilerimin yukarıda açıklandığı ve kurallarda ayrıntılandırıldığı şekilde kullanıldığını kabul ediyorum” kutularını işaretlemeleri istenmektedir. CNIL’e göre bu durum kullanıcının, GOOGLE tarafından bu anlaşmaya dayanarak yapacağı birçok farklı işlem için (reklamların özelleştirilmesi, ses tanıma, vb gibi) tek bir seferde blok halinde onay vermesine neden olmaktadır. Ancak GDPR kapsamında rıza, “her bir amaç için ayrı ayrı verilmişse” geçerlidir.

Sonuç olarak CNIL yapmış olduğu araştırma sonucunda GOOGLE şirketini, yapılan ihlaller ve yeteri kadar önlem almamış olması sebepleriyle 50 milyon Euro idari para cezasına hükmetmiştir. Kurum tarafından yapılan açıklamada, söz konusu ihmal ve ihlallerin kullanıcıların tüm mahremiyetini ortaya çıkarabilecek nitelikte olup ayrıca GDPR’ın temelini oluşturan “bilgi yükümlülüğü, şeffaflık ve rıza” gibi konular hakkında olması sebebiyle, verilen para cezasının miktarının ihmal ve ihlaller ile orantılı olduğunu belirtilmiştir.

Ülkemizde kişisel verilerin korunmasına ilişkin denetimler Kişisel Verileri Koruma Kurulu tarafından yapılmaktadır. Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi, saklanması, yok edilmesi gibi konularda şirketlerin mümkün olduğunca çabuk bir şekilde uyum sürecinden geçerek tüm verilerini KVKK’ya uygun hale getirmeleri, kendilerine karşı getirilebilecek olası bir yaptırımı önlemelerini sağlayacaktır. Özellikle büyük şirketlerin bu işlemi GDPR kapsamında yapmaları şirketlere daha geniş koruma sağlayacaktır. Zira her ne kadar GDPR Avrupa Birliği temelli olan tüzük olsa da, uygulama alanı çok geniş tutulmuştur. Tüzük verinin tutulduğu yer fark etmeksizin tüm Avrupa Birliği vatandaşlarının kişisel verilerini kapsamaktadır. Bu demektir ki, şirketler başlı başına Avrupa Birliği’nde yer almıyor olsalar bile, ellerinde tuttukları verilerin sahipleri (örneğin müşterileri, üçüncü kişiler vb) Avrupa Birliği ile bağlantılıysa, GDPR devreye girecektir. Bu sebeple GDPR tarafından öngörülen yükümlülükleri yerine getirmeleri ve işleyişlerini GDPR’a uygun olarak yürütmeleri halinde tamamıyla hukuka uygun bir şekilde hareket etmiş olacaklardır.

                                                                                                             Stj. Av. Pelin Topçuoğlu