Avusturya Temyiz Mahkemesi’nin 6Ob56/21k Sayılı, 23.06.2021 Tarihli Schrems/Facebook Kararının Özeti

Hazırlayan: Av. Kübra DURMUŞ

Davanın Tarafları ve İddialar

Davanın taraflarını; davacı olarak Maximillian Schrems ve davalı olarak Facebook İrlanda (“Facebook”) şirketi oluşturmaktadır.

Davacının Facebook ile ilgili mahkemeye ilettiği toplam 12 başvuru bulunmaktadır ve mahkeme bu başvurulardan 6’sını karara bağlamıştır [1, 2, 3, 4, 11 ve 12 nolu başvurular]. Davacının yapmış olduğu 12 başvuru kısaca şöyledir:

1.       Davacı, Facebook’ta kendi profilindeki faaliyetleri bakımından veri sorumlusudur. Facebook bu faaliyetler kapsamında, veri işleyen olarak nitelendirilmelidir.

2.       Davacı, aynı zamanda Facebook’taki sayfa faaliyetleri bakımından da veri sorumlusudur ve Facebook burada yine veri işleyen konumundadır.

3.       Facebook, söz konusu verileri davacının talimatı olmadan veya bu talimatlara aykırı olarak işlemiştir.

4.       Facebook’un davalının paylaştığı verilerle ilgili olarak davalıyla kendisinin veri sorumlusu olduğu yazılı bir sözleşme yapmaması hukuka aykırılık teşkil etmektedir.

5.       Davalının veri sorumlusu olarak Facebook’un gizlilik politikalarına ve çerez kullanımına ilişkin olarak verdiği rıza, GVKT md. 6’ya uygun değildir.

6.       Facebook’un, reklam amaçlı verilerin analizi için davacının kişisel verilerini işlemesi hukuka aykırıdır.

7.       Facebook’un, davacıya ait olan ve üçüncü şahıslardan aldığı kişisel verilerinin, davalının kendi amaçları için işlenmesine davacının rızasının bulunmaması hukuka aykırıdır.

8.       Facebook, gelecekte üçüncü şahıs sitelerinin ziyareti veya kullanımı ile ilgili olarak (özellikle “social plug-ins” ve benzeri yollarla) davacının verilerini kullanmaktan kaçınmakla yükümlü tutulmalıdır.

9.       Davalı, davacının rızası olmadıkça, kendisinin üçüncü şahıslardan aldığı kişisel verileri kendi amaçları için gelecekte işlemekten menedilmelidir.

10.    Facebook, davacının verilerini gelecekte ‘Grafik Arama’ uygulaması bağlamında ve benzer tekniklerle kullanmaktan, davacının rızası olmadıkça kaçınmalıdır.

11.    Davalı, kendisi tarafından işlenen tüm kişisel verilerle ilgili olarak Facebook tarafından işlenen kişisel verilerinin ne olduğu ve bunların ne şekilde işlendiği ve kimlerle paylaşıldığı konusunda yeteri kadar bilgi sahibi olmadığını, bu nedenle 14 gün içinde yazılı ve ücretsiz olarak davacıya tam ve eksiksiz bilgi vermelidir.

12.    Davalı, yukarıda sayılan sebeplerden ötürü tazminat olarak on dört gün içinde davacıya 500,00 Euro ödemelidir.

Davacının ilk dört başvurusu, veri koruma yasası kapsamındaki rollerin dağılımı ile ilgilidir. Davacı, Facebook’ta oluşturduğu profil bakımından kendisinin hem veri sorumlusu, hem de veri süjesi (ilgili kişi) olduğunu; Facebook’un ise sadece veri işleyen konumunda olduğunu ileri sürmektedir.

Davacı, (davacının iddiasına göre) veri işleyen konumunda olan Facebook’un, veri sorumlusu olan profil sahibinin rızası ve talimatları dışında veri işlediğini iddia etmektedir. Davacı, Facebook’taki verilerini silmesine rağmen halen, platformdaki arama motoru üzerinden kendisine ait verilere ulaşılabilmekte ve bu verilerin rızası dışında üçüncü şahıslara aktarılmakta olduğunu öne sürmektedir.

Yine bu kapsamda, kendisinin Facebook platformu dışında paylaşmış olduğu verilere ilişkin, platformda kendisine çeşitli öneriler sunulduğunu iddia etmektedir.

Davalı Facebook, davacının iddialarıyla ilgili olarak veri sorumlusu-veri işleyen iddiasını kabul etmemekte ve veri işleme faaliyetlerinin Genel Veri Koruma Tüzüğü’nün (“GVKT”) ikinci maddesi uyarınca, “kişisel veya hane içi faaliyet esnasında bir gerçek kişi tarafından” gerçekleştirilen faaliyetler kapsamında olduğunu ve bu nedenle GVKT’nin kapsamının dışında kaldığını savunmaktadır.

Facebook ayrıca veri işlemenin GVKT hükümlerine uygun biçimde gerçekleştirildiğini ve veri süjesinin açık rızasına değil, ağırlıklı olarak sözleşmeden doğan gerekliliklere dayalı olarak kişisel veri işlendiğini belirtmiştir.

İlk derece mahkemesi vermiş olduğu kararında, her Facebook kullanıcısının veri sorumlusu olmadığını, ancak üçüncü kişilere ait veriler bakımından sorumluluğunun söz konusu olabileceğini ve bu durumda ise ortak veri sorumlusu sıfatı olabileceğini belirtmiştir. Her iki durumda da Facebook, veri sorumlusu ya da ortak veri sorumlusu olmaya devam edecektir. Buna dayalı olarak mahkeme davacının ilk dört talebini reddetmiştir.

Mahkeme, Facebook ile kullanıcılar arasında akdedilen sözleşmenin atipik bir sözleşme olduğunu, Platform’un kullanma koşullarında Facebook’un iş modelinin ortalama bir kullanıcının dahi kolayca anlayabileceği şekilde anlatıldığını, dolayısıyla kullanıcı verilerinin işlenmesinin sözleşmenin yerine getirilmesi için gerekli olduğunu belirtmiştir.

Mahkeme ayrıca, davalının bilgi verme yükümlülüğünü ihlal ettiğini ve bu ihlale bağlı olarak davacının manevi tazminat talebinin haklı olduğuna karar vermiştir.

İstinaf mahkemesi, ilk derece mahkemesinin kararını onamıştır. Davacı ve davalı, ilk derece ve istinaf mahkemelerinin kararlarına karşı, temyiz yoluna başvurmuştur.

Facebook Hakkındaki Tespitler

Temyiz mahkemesi tarafından verilen kararda ilk olarak, Facebook’un nasıl çalıştığı ve veri işleme prosedürü açıklanmıştır. Facebook; dünya çapında 2.2 milyar insanın kullandığı ve kullanıcıların diğer kullanıcılarla “arkadaşlık” adı verilen bağlantılar kurabileceği, kendi profillerine çeşitli formatlarda (yazı, fotoğraf, video vs.) yükleme yapabileceği ve diğer kullanıcılarla beğeni ve yorum gibi araçlarla etkileşime girebileceği bir platformdur.

Her kullanıcı, diğer kullanıcıları arkadaş olarak ekleyebilmekte ve arkadaş sayısı 500-1000 gibi sayılara ulaşabilmektedir. Mahkeme “arkadaşlık” özelliğinin, davalının sunduğu hizmet ile diğer hizmetler arasında önemli bir ayırt edici özellik olduğunu belirtmektedir. Zira Facebook’un birçok işlevi arkadaşlık ağı üzerinden sağlanmakta ve kullanıcıların sosyal ortamları ve bu ağ içerisindeki iletişimleri kayıt altına alınmaktadır. Facebook aynı ağa kayıtlı birçok kullanıcının verilerini ilişkilendirerek verileri değerlendirmekte ve bunu “sosyal grafik” olarak adlandırmaktadır. Yani Facebook tarafından kullanıcıların profilleri ve tercihleri araştırılırken sadece kullanıcı tarafından sağlanan bilgiler ele alınmamaktadır.

Facebook, kendisi herhangi bir içerik oluşturmamakta, yalnızca kullanıcılara ücretsiz olarak altyapı sağlamaktadır. Facebook’un gelir modeli, kullanıcıların ilgilerine ve beğenilerine göre kişiselleştirilmiş reklam servislerine ve ticari içeriklere dayanmaktadır. Kullanıcılar için reklam servisleri kişiselleştirilirken, kullanıcıların Facebook üzerinden paylaşmış olduğu verilerin yanında çerez ve eklentiler (plug-in) gibi teknolojiler aracılığıyla diğer platformlardaki veriler de analiz edilerek kullanılmaktadır.

Facebook ticari müşterilerine ise, birtakım araçlar ile değerlendirme ve analiz hizmetleri sağlamaktadır. Bu iş araçları, reklam verenlerin reklam oluşturmasına ve ilgili hedef gruplarına ulaşmasına olanak tanımaktadır.

Kararda, Facebook’un sakladığı verilere ilişkin olarak kullanıcıların bilgi edinmesi ve kontrol sağlaması adına geliştirdiği birtakım araçlardan da detaylı olarak bahsedilmiştir.

Bu araçlardan ilki olan “Download Your Information”, 2010 yılında tanıtılmıştır. GVKT’nin yürürlüğe girmesinin ardından ise, yeni bir araç daha (“Access Your Information Tool”) tanıtılmıştır. Kararda diğer bazı araçlara da yer verilmiştir. Örneğin kararda bahsi geçen araçlardan biri olan “Facebook Dışı Aktiviteleriniz Aracı”, aktarılan verinin ne olduğunu belirtmese de Facebook tarafından veri aktarılan ortakları listelemektedir. Kararda bunun dışında çeşitli veri ayar seçenekleri de açıklanmıştır.

Ayrıca mahkeme, Facebook’un çerezler, sosyal eklentiler kullandığını da belirtmiştir. Bu araçlar sayesinde, Facebook haricindeki sitelere giriş yapan ve Facebook kullanıcısı dahi olmayan kişilerin bilgileri toplanabilmektedir.

Temyiz Mahkemesinin Kararı

Mahkeme, Facebook’un GVKT md 2/c uyarınca, davacının faaliyetlerinin hane içi faaliyetler çerçevesinde olduğu ve GVKT’nin kapsamı dışında kaldığı şeklindeki savunmasına ilişkin değerlendirme yapmıştır. GVKT’de yer verilen bu istisna, aile ve özel yaşam kapsamında bir faaliyet söz konusu olduğunda, devletin düzenleme yetkisini sınırlandırmak için getirilmiştir. Temyiz mahkemesi, bu noktada sosyal medya üzerinden yapılan paylaşımların yalnızca belli bir gruba hitap etmesi ve bu paylaşımların kamuya açık hale getirilemeyecek olması durumunda, GVKT’nin bu istisna kapsamında uygulanamayacağı görüşünü benimsemekte ve bu istisnayı dar yorumlamaktadır.

Davacının Facebook profilinin gizli olduğu ve platformda arkadaşı olan kişilere, kendisinin paylaştığı içerikleri paylaşma izni vermediği göz önüne alındığında, istisnaya ilişkin kriterler karşılanmıştır ve dava konusu olay, mahkeme tarafından GVKT kapsamında değerlendirilmemiştir. GVKT’nin 18 no’lu gerekçesinde de sosyal ağların ve çevrimiçi aktivitelerin de, kişisel ya da hane içi aktiviteler kapsamında sayılabileceği ve tüzüğün uygulama alanı bulmayacağı ifade edilmektedir.

Yukarıda belirtildiği gibi davacı, kendisine ait bir veriyi Facebook’a yüklediğinde hem veri süjesi, hem de veri sorumlusu olduğunu; üçüncü kişiye ait bir veri yüklediğinde ise, sadece veri sorumlusu olduğunu; Facebook’un ise her iki durumda da veri işleyen olduğunu iddia etmektedir. Ancak Mahkeme, davacının veri süjesi, Facebook’un ise veri sorumlusu olduğuna karar vermiştir. Davacının bu husustaki farklı yöndeki görüşü de reddedilmiştir.

Kararda, veri sorumlusu ve veri işleyen ayrımı bakımından Avrupa Birliği Adalet Divanı (“ABAD”) içtihatlarına da yer verilmiştir. ABAD içtihatlarına göre, bir kişinin yalnızca herhangi bir sosyal medya platformunu kullanması onu veri işleme konusunda doğrudan veri sorumlusu yapmaz. Ancak, bir hayran sayfası yöneticisi ele alındığında, bu yönetici sayfaya ilişkin verilerin nasıl ve ne amaçla kullanılacağı konusunda görece söz sahibi olduğu için bu kişinin ortak veri sorumlusu olması gündeme gelebilir. Bu da Facebook kullanıcılarının, üçüncü kişilerin verileri söz konusu olduğunda ancak belli şartlarla GVTK md. 4 anlamında veri sorumlusu olabileceği anlamına gelmektedir. Temyiz mahkemesi bu doğrultuda, ilk derece mahkemelerinin vermiş olduğu kararları onamış ve Facebook platformunda sadece kullanıcı olan davacının veri sorumlusu olmadığına hükmetmiştir.

Erişim sağlama yükümlülüğüne ilişkin başvuruyla ilgili olarak ise mahkeme, GVKT’nin 63 no’lu gerekçesine ve ABAD içtihatlarına göre, veri süjesinin işlenen verileriyle ilgili olarak GVKT md. 12’de belirtilen haklarını kullanabilmesi ve bunun meşruiyetini denetleyebilmesi için yeterli ve açık bilgiye sahip olması gerektiği gerekçesiyle davacının verilerinin, hangi alıcılarla ya da alıcı gruplarıyla paylaşıldığı hakkında davacıya bilgi verilmemesini GVKT md. 15’in ihlali olarak değerlendirmiştir.

Davacı, 2011, 2012, 2013, 2015 ve 2019 yıllarında Facebook’tan bilgi edinme talebinde bulunmuştur. Yazışmaların ardından 18 sayfalık bir PDF dosyası ve 1222 sayfalık bir PDF içeren bir CD davacıya verilmiştir. Sonraki taleplerde ise, bilgilendirme amacıyla oluşturulmuş araçlara yönlendirmeler yapılmıştır.

Facebook başlangıçta yaptığı bilgilendirmeleri başvuru yapan veri süjelerini ilgilendirdiğini düşündüğü kişisel verilerle sınırlı tutmuştur. Ancak mahkeme bilgi verme yükümlülüğünün, Facebook’un değerlendirmesine bağlı olamayacağını ve ilgili kişinin işlenen tüm kişisel verileriyle ilgili bilgilendirme yapılması gerektiğini belirtmiştir.

Ayrıca yukarıda anılan bilgilendirme araçlarının, GVKT md 15’te düzenlenen gereksinimleri karşılamadığı belirtilmiştir. Zira mevcut araçlar ile arama yapmak için bilgi edinme talebinde bulunan veri süjesinin birkaç saatini ayırması gerekecektir. Mahkeme bu hususla ilgili olarak davacının başvurusundaki ifadeye atıfta bulunmuş ve GVKT’nin erişim için tek seferlik bir talep öngördüğünü, erişim talebinin samanlıkta iğne aramak olmadığını belirtmiştir.

Facebook tarafından kullanıcılara tüm işleme amaçlarının açıklanmaması, mahkeme tarafından bir başka ihlal olarak görülmüştür. Facebook üçüncü kişilerin haklarını ihlal edebileceği gerekçesiyle tüm kişisel veri işleme amaçlarını açıklamadığını ileri sürse de mahkeme bu savunmayı geçerli görmemiştir.

Facebook’un itiraz ettiği hususlardan birisi ise, talep edilen bilgilerin kapsamının çok geniş olmasıdır. Ancak somut olayda mahkeme bu durumu mevcut verilerle ilgili kabul etmemiş ve davacı tarafından 9 yıl içinde 5 kez bilgi talebinde bulunulmasının aşırı olarak değerlendirilemeyeceğini belirtmiştir. 

GVKT hükümlerinin ihlal edilmiş olmasının tazminat talebine yol açıp açmayacağı hususu da temyiz mahkemesi kararında tartışılmıştır. Yüksek mahkeme, davacının psikolojik olarak zarar görmemiş olsa da büyük ölçüde rahatsızlık duyduğunu (massively annoyed) tespit eden ilk derece mahkemesi kararına atıfta bulunarak yaşanan ihlalden kaynaklanan duygusal bozulmaların da tazminat talebine yol açabileceğini belirtmiştir. Bunun için de duygusal dünyada ciddi bir bozulma gerçekleşmesi gerekmemektedir.

GVKT’nin 146 no’lu gerekçesinde de belirtildiği üzere zarar, GVKT’nin amaçlarına uygun olarak geniş bir şekilde yorumlanmalıdır. Mahkeme bu konuda, özellikle GVKT md. 82’nin ulusal hukuk düzenindeki tazminat anlayışından farklı bir tazminat rejimi getirdiğini belirterek ulusal hukukta manevi tazminata ilişkin düzenlemelerin ve oluşan içtihatların bu konuda tek başına kullanılamayacağı görüşündedir. Mahkeme kişinin psikolojisi bozulmasa da “büyük ölçüde rahatsız” olmasının manevi zarar doğduğu varsayımı için yeterli olduğunu belirtmiştir.

Nihai olarak Mahkeme, davacının 11 ve 12 nolu başvurularını kabul etmiş, diğer başvurularını ise reddetmiştir. Mahkeme erişim hakkının ihlali nedeniyle GVKT 82 (1) uyarınca davalı tarafından 500 Euro tutarında manevi tazminat ödenmesi kararını onamıştır. Kararda diğer bazı araçlara da yer verilmiştir.