Hamburg Denetim Otoritesi (DE-HH SA) GDPR md. 66/1 gereğince Facebook Ireland Ltd. (Facebook IE)’ye karşı geçici tedbir kararı aldıktan sonra EDPB’den talepte bulunmuştu, EDPB  de Hamburg Denetim Otoritesi’nin bu talebini takiben GDPR md. 66/2 hükmü çerçevesinde ilk acil bağlayıcı kararını aldı. WhatsApp Ireland Ltd.’nin Avrupa kullanıcılarına uygulanabilir olan Hizmet Koşulları ve Gizlilik Politikası değişikliğini takiben DE-HH SA, Facebook IE’nın WhatsApp kullanıcı bilgilerini kendi amaçları için işlemesini yasaklamıştı.

EDPB, bir ihlalin varlığının ve aciliyet olduğunun ortaya konulması koşullarının sağlanmadığına karar vermiştir. Bu nedenle EDPB bu dosyada Facebook IE aleyhinde İrlanda Denetim Otoritesi tarafından  nihai tedbirlerin alınmasına gerek olmadığına karar verdi.

Sunulan delile dayanarak EDPB, Facebook IE’nin WhatsApp IE kullancı verilerini halihazırda bir (ortak) veri sorumlusu olarak WhatsApp IE ve diğer Facebook şirketlerinin güvenliği, emniyeti ve bütünlüğünü sağlamak ve Facebook şirketlerinin ürünlerinin geliştirilmesi  yönündeki ortak amaçlarla işleme olasılığının yüksek olduğuna karar vermiştir. Bununla birlikte WhatsApp’ın kullanıcılarına sunduğu bilgilere yer alan çeşitli zıtlıklar, belirsizlikler ve net olmayan hususlar, Facebook IE tarafından kabul edilen bazı yazılı taahhütler ve WhatsApp IE’nın yazılı gönderileri ışığında EDPB, hangi işleme faaliyetlerinin fiilen ve hangi kapasitede gerçekleştirildiğini kesin olarak belirleyecek bir konumda olmadığı sonucuna varmıştır

Ek olarak, Facebook IE’nın halihazırda WhatsApp kullanıcı verileri bir (ortak) veri sorumlusu olarak pazarlama amacıyla iletişim kurmak ve doğrudan pazarlama yapmak yahut diğer Facebook şirketleri ile işbirliği sağlamak için kendi amaçları doğrultusunda işlemeye başlayıp başlamadığına kesin olarak kabul verebilmek adına yeterli bilgi bulunmamaktadır. Aynı şekilde Faceboo IE’nin WhatsApp kullanıcı verilerini bir (ortak) veri sorumlusu olarak WhatsApp Busines API’sı ile bağlantılı kendi amacı doğrultusunda halihazırda işleyip işlemediği yahut yakın zamanda işlemeye başlayıp başlamayacağı de belirlenememiştir.

Aciliyetin varlığı yönünden EDPB, DE-HH SA’nın, GDPR md. 61’de yer aşan karşılıklı desteğe ilişkin resmi bir talep kapsamında İrlanda Denetim Otoritesi’nin bilgi sağlamada başarısız olduğunu gösterememesi nedeniyle GDPR md 61/8’nin uygulanabilir olmadığını değerlendirmiştir. Dahası, önceki versiyonu ile benzer problemleri unsurlar barındıran güncellenmiş koşulların kabul edilmesinin kendiliğinden GDPR md 66/2’ye göre EDPB’nin yerel denetim otoritesine nihai tedbirleri acilen almayı emretmesinin gerekçesi olmayacağına karar vermiştir. Bu nedenle EDPB, bu dosyada yerel Denetim Otoritesi’nin  nihai tedbirleri alması için bir aciliyet bulunmadığını değerlendirmiştir.

EDPB,  ayrıca Facebook şirketlerinin ürünlerinin iyileştirilmesi amacı yanı sıra özellikle WhatsApp IE ve diğer Facebook şirketlerinin emniyeti, güvenliği ve bütünlüğü amacı kapsamında işlemede ihlal olasılığının yüksek olduğunu göz önünde bulundurarak, bu konunun hızlı bir şekilde daha detaylı bir soruşturmaya dönüştürülmesi gerektiğini değerlendirdi. Özellikle benzersiz tanımlayıcılar kullanarak, uygulamada Facebook Şirketlerinin, Facebook Şirketleri tarafından sunulan diğer uygulamalar veya hizmetler bağlamında WhatsApp IE’nin kullanıcı verilerinin diğer Facebook Şirketleri tarafından işlenen diğer veri kümeleriyle birleştirilmesini veya karşılaştırılmasını ima eden işleme faaliyetleri gerçekleştirerek, kolaylaştırıp kolaylaştırmadığını teyit etmek içindir.  Bu nedenle, EDPB bu türden veri işleme faaliyetlerinin gerçekleşip gerçekleşmediğini tespit etmek ve eğer gerçekleştiriliyorsa GDPR md. 5/1-a ve 6/1 kapsamında uygun bir hukuki temele sahip olup olmadığını belirlemek amacıyla İrlanda Denetim Otoritesi’nden öncelikli bir şekilde idari bir soruşturma gerçekleştirmesini talep etti.

Ek olarak, verinin pazarlama amaçları, diğer Facebook şirketleri ile işbirliği ve WhatsApp Business API ile ilgili olarak ne şekilde işlendiğine ilişkin bilgi eksikliği dikkate alındığında, EDPB İrlanda Denetim Otoritesini Facebook IE’nin bu işleme faaliyetlerindeki  rolü, örn. veri işleyen ya da bir ortak veri sorumlusu olarak mı hareket ettiği, konusunda daha detaylı bir soruşturma yapmaya çağırmaktadır.

Sıradaki Adımlar:

Bu acil bağlayıcı karar İrlanda Denetim Otoritesi’ne, DE-HH SA’ay ve ilgili diğer denetim otoritelerine gönderilmiştir, Facebook IE ve WhatsApp IE bu karar hakkında bilgilendirilmiştir.

Acil bağlayıcı karar, mesleki sır kapsamındaki bilgilerin ifşa edilmesini önlemek adına kararın bazı bölümlerinin yeniden düzenlenmesi gerekip gerekmediğine ilişkin olarak yapılacak değerlendirmenin ardından EDPB web sitesinde kamuoyuna duyurulacaktır.

Mevcuttaki bu karar, EDPB’nin aynı taraflar da dahil olmak üzere diğer durumlarda yapması istenebilecek herhangi bir değerlendirmeye halel getirmez.

Editörlere Notlar: 

GDPR md. 66 nedir?

İstisnai hallerde, bir denetim otoritesi kendi yetki alanında bulunan ilgili kişilerin hakları ve özgürlüklerini korumak amacıyla harekete geçmek adına bir acil ihtiyaç bulunduğunu düşünürse, azami üç aylık bir süre için kendi yetki alanında hukuki bir etki doğuracak şekilde geçici tedbirler alabilir. 

Bu tedbirler , GDPR’nin tutarlılık mekanizmasının (GDPR Md. 63) veya One-Stop-Shop mekanizmasının (Madde 60 GDPR) istisnaları olarak benimsenmiştir. Bu durumda  GDPR md 66, denetim otoritelerinin geçici önlemleri derhal almasına olanak tanır.

Bu tür geçici önlemler alan denetim otoritesi mutlaka bu tedbirleri ve kabul edilme gerekçelerini gecikmeksizin ilgili diğer denetim otoritelerine, Avrupa Veri Koruma Kurulu’na ve Avrupa Komisyonu’na iletmelidir. 

Bu türden geçici tedbirlere karar veren denetim otoritesi nihai tedbirlerin acil olarak alınması gerektiğini düşünürse, standart işbirliği ve tutarlılık prosedürlerinden hariç olarak nihai tedbir kararı verilmesine olan acil ihtiyacın gerekçelerini de sunarak EDPB’den acil bir görüş ya da acil bir bağlayıcı karar vermesini  talep edebilir.