Belçika Veri Koruma Kurumu Tarafından Avrupa İnteraktif Reklamcılık Bürosu Hakkında Verilen 02/02/2022 Tarihli Karar Özeti

 Hazırlayan: H. Berk SÜRÜCÜ

1. IAB Avrupa ve Kararda Geçen Önemli Kavramlar Hakkında
   • IAB ve IAB Avrupa

Interactive Advertising Bureau (İnteraktif Reklamcılık Bürosu, “IAB”) dijital pazarlama ve reklamcılık sektörlerinde faaliyet gösteren, amacını, sektörün siyasi alanda temsilini sağlayarak sektörü ilerletmek olarak açıklayan kâr amacı gütmeyen bir kuruluştur. IAB, 1996’da kurulmuş, ABD merkezli bir teşkilat olup, dünyanın çeşitli bölgelerinde ilgili pazarın yasal ihtiyaçlarının tespiti ve geliştirilmesi için farklı tüzel kişilikler altında teşkilatlanmaktadır.

İnceleyeceğimiz karar, IAB’in, 700’ün üzerinde kurumsal üyesi ile Avrupa’da bulunan 27 ülkede faaliyet gösteren kolu olan IAB Avrupa hakkında verilmiştir. IAB Avrupa, Avrupa Genel Veri Koruma Tüzüğünün yürürlüğe girmesinden (General Data Protection Regulation, “GVKT”) sonra interaktif reklamcılığı Avrupa’da hukuka uygun olarak sürdürebilmek için ortaya çıkarttığı politika olan Transperancy and Consent Framework (Şeffaflık ve Rıza Çerçevesi, “TCF”) ile ses getirmiştir.

• Transparency and Consent Framework (Şeffaflık ve Rıza Çerçevesi, TCF)

TCF, IAB Avrupa tarafından 2017 yılının Kasım ayında ilan edilen, IAB Avrupa tarafından uygulanan bir sistem ve politikalar bütünüdür. TCF ile sektör katılımcıları ve IAB üyelerinin, 2018 yılında yürürlüğe giren GVKT’ye uyumlu bir şekilde kullanıcıların kişisel verilerini toplamaları, saklamaları ve rızayı hukuka uygun olarak almaları ve güncellemeleri amaçlanmıştır. TCF, daha sonra 2019 yılında güncellenerek TCF v. 2.0 adını almıştır.

İnteraktif reklamcılık ve çevrimiçi pazarlama sektörü aktörleri için çerçeve niteliğinde bir politika olması bir yana, TCF, aynı zamanda IAB üyelerinin ve yeni üyelerin ücret ödeyerek bir parçası olabilecekleri bir sistemdir. Sistem üyeleri, kullanıcının kişisel verilerinin işlenmesine yönelik rızasını toplu olarak alabilmekte, anlık olarak birbirlerine iletebilmekte, kullanıcının verilerini gerçek zamanlı açık artırma yoluyla pazarlayabilmektedir. Bu anlamda, TCF, interaktif reklamcılık, hedefli pazarlama gibi konularda pazarın en önemli, hatta kurucu politikası ve sistemidir.

• Open RTB, CMP ve TC String Kavramları

Open Real Time Bidding (Açık Gerçek Zamanlı Açık Artırma, “Open RTB”) IAB tarafından 2010 yılından bu yana kullanılmakta ve geliştirilmekte olan, hedefe yönelik reklamcılığı mümkün kılan bir sistemdir. Open RTB yoluyla, kullanıcıya ait veriler içeren dijital içerikler, otomatik sistemler vasıtasıyla anlık olarak satışa sunulabilmektedir. Open RTB, e-ticaret pazarlarının gelişmesi için ciddi önem taşıyan bir uygulamadır. Google, Adobe, Facebook, WPP, Yandex gibi dev aktörlerin başını çektiği pazarın 2019 yılı itibariyle hacmi 6.6 milyar ABD doları olarak tahmin edilmektedir.[1] [2]

Belçika Veri Koruma Kurumu’nun kararında, Open RTB sisteminin nasıl işlediğini göstermek için kullandığı şema. Bir reklam alanının anlık satışı için satın alan ve satıcı taraf aktörlerini detaylı bir şekilde göstermektedir.

Consent Management Platform (Rıza Yönetim Platformu, “CMP”) en yaygın olarak çerez uygulamalarında gördüğümüz, kullanıcının verisinin işlenmesine yönelik rızasını belli ettiği ve bu rızayı kayıt altına alan bir teknolojidir. CMP teknolojileri ile kullanıcıların işlenecek verilerine rıza göstermeleri sağlanmakta, rızaları kayıt altına alınmakta, rızalarını geri çeken kullanıcıların rızalarının kaldırılmasına imkân tanımaktadır. Günümüzde uygulamada yaygın olarak kullanılan bu teknolojinin popülerleşmesi ve kullanımında belirli standardizasyonun sağlanmasında IAB’in TCF ile bu teknolojileri benimsemesi ve yaygın olarak kullanması büyük oranda etkili olmuştur.

IAB tarafından kullanılan CMP’nin birinci katmanı. “Accept” butonuna tıklanması halinde başta çerezler olmak üzere benzer teknolojilere ait verilerin işlenmesine rıza gösterilmiş olur ve bu rıza kayıt altına alınır. IAB Avrupa’nın TCF veya OpenRTB sistemine katılımcı olan herhangi bir web sitesinde “Accept All” butonuna tıklanması ile web sitesi üzerinden toplanan veriler yüzlerce katılımcıya aktarılabilmektedir.

IAB tarafından kullanılan CMP’nin ikinci katmanı. Bu katman, katılımcı şirketlerin tümünü listelemekte olup bir kısmına rıza vermeyi ve bir kısmına vermemeyi mümkün kılmaktadır.  

Transparency and Consent String (Şeffaflık ve Rıza Bağlayıcısı, “TC String”) ise, CMP teknolojisi ile verilen rızaya ilişkin bütün ilgili veriler için bir bağlayıcıdır. TC String, CMP üzerinden verilen rızanın, hangi kullanıcıların hangi amaçlarla kişisel veriyi işlemesine yönelik olarak verildiğini göstermektedir.

Yukarıda tanımını yaptığımız üç teknik kavram doğrultusunda, IAB, özetle şu şekilde faaliyet göstermektedir:

Bir web sitesi üzerinden IAB’in benimsediği standartlara uyan bir CMP (bu CMP çoğunlukla IAB üyesi ve TCF teknolojisini politika olarak benimsemiş üçüncü taraf hizmet sağlayıcılar tarafından sağlanmaktadır) vasıtasıyla kişinin verilerinin işlenmesine yönelik rıza almakta, rızayla ilintili veriler TC String adlı bir bağlayıcıda saklanarak sistem katılımcılarına aktarılmakta, nihayetinde toplanan veriler ile sistem katılımcıları profilleme, hedefli reklamcılık faaliyetleri yürüterek Open RTB vasıtasıyla anlık olarak kullanıcının ilgisini çekebilecek reklamları tasnif etmekte ve reklam alanlarını üçüncü kişilere (veya yine IAB katılımcısı reklam teknolojileri şirketlerine) satışa sunmaktadır.

2. Kararın Konusu ve Arka Planı

2019 yılı boyunca, Belçika Veri Koruma Kurumu nezdinde IAB Avrupa hakkında pek çok şikâyet gerçekleştirilmiştir. Şikayetler, IAB Avrupa’nın özellikle yüksek hacimli veri işleme faaliyetlerinin GVKT’nin çeşitli hükümlerine aykırı olduğu iddiasında olup özellikle veri işlemede hukuka uygunluk, şeffaflık, amaçla bağlılık, hesap verilebilirlik, saklama kısıtlamalarına uyulmaması ve güvenlik noktalarında yoğunlaşmıştır.

Şikayetler üzerine Belçika Veri Koruma Kurumu, Belçika Veri Koruma Kanunu’nun 63/6. bendi uyarınca ayrı bir soruşturma açmışsa da şikayetlerin içerik ve taraflar itibariyle benzerliği sebebiyle dosyaların birleştirilmesine karar vermiştir. Nihayetinde, İrlanda, Polonya, Hollanda, Belçika gibi çeşitli ülkelerden şikayetçiler, IAB Avrupa’nın AB’de yerleşik tek şubesinin Belçika’da bulunması sebebiyle tek bir dosyaya taraf olmuşlardır. Yine, GVKT’nin uygulandığı 21 ülkeden temsilciler dosyaya ilgili yetkili otoriteler sıfatıyla müdahil olmuştur. Bu soruşturmanın yürütüldüğü esnada AB’de bulunan 8 farklı veri koruma kurumundan benzer konularda şikayetler gelmiş, ancak bunlar bu soruşturmaya dahil edilmemiştir.

Kararda, OpenRTB tanımı için doktrinde kabul edilen “pazarlama alanında faaliyet gösteren bir grup iş ortağının, gerçek zamanlı ve veriye dayalı pazarlama ile kişiselleştirilmiş (davranışsal) reklamcılık teknikleri ile daha önceden belirlenmiş reklam alanlarının satışı için oluşturulmuş bir big data uygulamasını aktif ederek kullanması” tanımı benimsenmiştir. Bununla birlikte OpenRTB sisteminin binlerce katılımcısı olduğu ve bu sistem üzerinden her gün milyarlarca satışın gerçekleştiği vurgulanmıştır. Bu yolla aktarımı gerçekleştirilen kullanıcıya ait kişisel veriler bunlarla sınırlı kalmamak üzere genellikle çerezler, rızanın alındığını gösterir kayıt, yaş, cinsiyet, ilgi alanları, bulunduğu yer, posta kodu olarak örneklendirilmiştir. Dolayısıyla, ilgili veri işleme faaliyetinin tartışmasız olarak GVKT’nin kapsamına gireceği yorumu yapılmıştır. Kararda, TCF ise, OpenRTB sistemlerinin yürütülmesinde uyulacak kuralları ve teknik özellikleri tespit eden bir çerçeve olarak tanımlanmıştır.

3. Bulgular ve Savunmanın Özeti
   • İlk Bulgular

Soruşturma ekibi tarafından gerçekleştirilen soruşturmada, ilk olarak, IAB Avrupa, TCFin yaratıcısı olarak katılımcılar üzerinde bağlayıcı kurallar empoze etme yetkisine sahip olduğundan veri sorumlusu olarak kabul edilmiştir. OpenRTB sistemleri üzerinde IAB Tech Lab (IAB’in New York’ta yerleşik ar-ge kolu) yalnızca bir hizmet sağlayıcı rolü üstlendiği, veri işlemenin araç ve amaçlarının tamamen katılımcılar tarafından belirlendiği gerekçesiyle veri sorumlusu olarak kabul edilmemiştir.

Soruşturma ekibi tarafından yapılan incelemede, GVKT’nün 5/1, 5/2, 6/1, 9/1, 9/2, 12/1, 13, 14, 24/1, 30, 31, 32/1, 32/2, 37. maddelerine aykırılık tespit edilmiştir:

• IAB Avrupa, ilgili kişilerin verilerinin profilleme yapılması amacıyla işlenmesinde meşru menfaat gerekçesine dayanmakta ise de özellikle ilgili kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde yeterince gözetildiğini ispat edememiştir. Aynı zamanda, veri işleme süreçlerinde kişinin daha önce ziyaret ettiği web sitelerinin de görüntülenebildiği düşünüldüğünde, sistemin, kişilerin siyasi düşünce, dini veya felsefi düşünceleri, cinsel yönelimi, sağlık ve hatta dernek/vakıf üyeliği verilerine erişilebileceği göz önünde bulundurularak veri işleme faaliyetinin şeffaflık ve hukuka uygunluk ilkelerine aykırı olduğu tespit edilmiştir.
• IAB Avrupa’nın gizlilik politikası, yalnızca İngilizce dilinde yayınlanmıştır. Aynı zamanda politikada “hizmetler”, “diğer veri işleme araçları” gibi muğlak ifadeler geçmektedir. Dahası, kullanıcılar, IAB Avrupa’nın veri işlemekteki meşru menfaatinin ne olduğu konusunda açıkça bilgilendirilmemiş; verinin aktarılacağı gruplardan “üçüncü kişiler” ve “ortaklar” ibarelerinin kimler olduğu ilgili kişilere açıklanmamış; sözleşmenin kurulması veya sözleşmeden doğan yükümlülüğün yerine getirilmesi sebebine dayalı olarak verinin işlendiği durumlarda hangi kişisel verilerin paylaşılmasının zorunlu olduğu belirtilmemiştir. Dolayısıyla gizlilik politikası GVKT’nin 13 ve 14. Maddelerine aykırı bulunmuştur.
• TCF’in uygulanmasında, IAB Avrupa, GVKT’ye uyumluluğu denetleyecek herhangi bir mekanizma kurmamıştır. Örneğin, verileri TCF’e dayanarak toplayan katılımcı TCF’e ve hukuka aykırı olarak faaliyetlerine devam etse bile veri işlemeye devam edebilmektedir. Bu bağlamda, veri güvenliğinin sağlanması yönünden 24/1, 32/1 ve 32/2. Maddelerine aykırılık tespit edilmiştir.

• Şikâyetin Özeti

Şikayetçiler, şikayetlerinde ve IAB Avrupa’nın savunmalarına karşı sundukları beyanlarda aşağıdaki hususları savunmuşlardır:

• TC String’in eşsiz tanımlayıcı özelliği dolayısıyla GVKT’nin 4. maddesi uyarınca kişisel veri kabul edilmesi gerektiğini, buna ek olarak TC String’in kullanıcının hangi uygulama ve web sitelerini kullandığını takip ettiği iddiasına dayanarak hassas verilere erişimin önünü açtığını savunmuşlardır.
• TC String’in oluşturulma şekli itibariyle de kişisel veri olduğunu, CMP üzerinden alınan verilerin TC String vasıtasıyla depolandığını, bununla birlikte TC String’lerin IAB tarafından işletilen consensu.org web sitesinde paylaşımlı olarak tutulduğunu, bu web sitesi üzerinden CMP sağlayıcıların TC String’e ulaşarak, kullanıcının kaydettiği tercihlerinde değişiklik yapabildiklerini ileri sürmüşlerdir.
• IAB Avrupa’nın, TCF’te kendini “politikalardan sorumlu taraf” olarak nitelendirmesi, TCF’te CMP hizmet sağlayıcılarının uyması gereken teknik özelliklerin detaylıca sayılması, bu noktada ek olarak işlenmesi gereken veriler ile veri işleme amaç ve araçlarının belirtilmesi, CMP hizmet sağlayıcılarının aldıkları TC String’leri consensu.org sitesinde paylaşmalarını talep ettiği gerekçeleriyle veri sorumlusu sıfatı taşıdığını ileri sürmüşlerdir.
• TC String ile alınan veriler, euconsent-v2 adlı bir çerez vasıtasıyla kişinin terminal cihazında depolanmaktadır. Ancak TC String’in veri işleme amacının belirli olmadığı, ilgili kişilere bildirilmediği ve hukuka aykırı olduğunu ileri sürmüşlerdir.
• TCF ve TC String ile elde edilen rızanın OpenRTB sistemlerine bağlı olmadığı, yalnızca bir uyarı niteliği taşıyan bir ileti ilettiği, dolayısıyla OpenRTB yönünden veri işleme şartlarını sağlamadığını iddia etmişlerdir.
• OpenRTB sistemi uyarınca Avrupa Ekonomik Alanı dışında kalan şirketlere gerekli tedbirlerin alınıp alınmadığına bakılmaksızın veri aktarımının olduğunu, bu aktarımlarda en az TC String’in aktarıldığını iddia etmişlerdir.

• Savunmanın Özeti

IAB Avrupa, aşağıdaki savunmaları ileri sürmüştür:

• Veri işleme faaliyetinin sadece katılımcılar nezdinde gerçekleştirildiğini ileri sürerek ne veri sorumlusu ne de ortak veri sorumlusu olmadığını iddia etmiştir.
• TCF çerçevesinde veri işleme faaliyetlerine teşvik etme veya koordine etmenin söz konusu olmadığını iddia ederek, OpenRTB ve CMP kullanımları başta olmak üzere veri işleme faaliyetleri çerçevesinde veri sorumlusu olarak TCF katılımcılarının kabul edilmesi gerektiğini ileri sürmüştür.
• Hukuka uygun ve şeffaf veri işleme, veri güvenliğini sağlama yönünden yükümlülüğünü yerine getirdiğini ileri sürmüştür. Bununla birlikte, OpenRTB sistemi dolayısıyla yurtdışına veri aktarımı gerçekleşiyor olsa da OpenRTB sisteminden dolayı herhangi bir sorumluluğu olmadığını iddia etmiştir.
• IAB Avrupa’nın çalışan sayısının 250’den az olduğu ve veri işleme faaliyetlerinin GVKT’nin 30/5 istisnası kapsamında kaldığını ileri sürerek envanter tutma yükümlülüğü olmadığını ileri sürmüştür.
• Bunlara ek olarak, savunma, yetki ve usule ilişkin çeşitli itirazlar ileri sürmüştür.

4. Karar Gerekçesi
   • Kişisel Veri Tartışması

Belçika Veri Koruma Kurumu, GVKT’nin 4/1 maddesine atıfla Avrupa veri koruma rejiminin kişisel verileri korunmasını sağlamak için kişisel verinin tanımında yaygın olduğunu belirtmiştir. Bununla birlikte, Avrupa Birliği Adalet Divanı tarafından yapılan “birden fazla veri sorumlusu tarafından ayrı ayrı tutulsa dahi, içeriği, amacı veya etkisi sebebiyle gerçek kişiyle ilişkilendirilebilen bilgiler kişisel veridir” tanımını[3] vurgulamıştır. Bununla birlikte, TC String’in kullanıcıyı ve kullanıcı cihazını doğrudan tanımlanabilir kılmadığını, örneğin, “kimliği belirsiz kullanıcının veri işleme amaçlarından Y ve Z kapsamında, katılımcılardan A ve B’nin veri işlemesine rıza verip vermediğini” tespit etmeye yarayan, metadata ve ikili sistemden müteşekkil bir enstrüman olduğunu ifade etmiştir.

Ne var ki, CMP hizmet sağlayıcıları rıza paneline erişim sağladıklarında, işin doğası gereği IP adresine erişebilmektedir. IP adresi GVKT’nin 30. Maddesinde açıkça kişisel veri olarak sayılmıştır. Yine, CMP hizmet sağlayıcısı, kullanıcının cihazına euconsent-v2 çerezini yerleştirdiğinde veya bu çerezin varlığını teyit ettiğinde, kullanıcının tercihlerine ve dolaylı olarak IP adresine erişebilmektedir.

Aynı zamanda, TCF’in parçası olan katılımcıların ve hatta OpenRTB kullanıcılarının ellerindeki veriler arasında bağlantı kurularak kişinin kimliğini belirlenebilir kılan anlamlı verilere ulaşılabildiği de ifade edilmiştir.

OpenRTB uygulaması çerçevesinde, kullanıcıların tercihlerinin yönetilmesi kullanıcıların hak ve menfaatlerine açıkça etki etmektedir, zira bu tercihler vasıtasıyla verilerin aktarılacağı ve veriyi işleyebilecek üçüncü kişiler de tespit edilmiş olmaktadır.

Tüm bu nedenlerle incelemeye konu olayda TC String ile elde edilen ve saklanan veriler kişisel veri kabul edilmiştir.

• Kişisel Veri İşleme Faaliyeti Tartışması

TCF, kişisel verinin toplanması ve aktarılması için standardize edilmiş yaklaşım gösteren, sözde GVKT’ye uyumlu bir sistem öngörmektedir. Sistem içerisinde bulunan katılımcılar (reklam teknolojileri şirketleri) toplanan kişisel verilere sistemin işlerliği gereği erişim sağlayabilmektedir. Ayrıca, OpenRTB uygulaması gereği kişilerin internette dolaşırken gösterdikleri davranışların takibi gerekmekte, 29. Madde Çalışma Grubu’nun Çevrimiçi Reklamcılık Rehberi’ne atıfla bu faaliyetler kişinin gerçek adı bilinmese bile kişiyi izlenebilir kılmaktadır. Aynı zamanda, OpenRTB uygulanıp uygulanmadığına bakılmaksızın, TCF katılımcıları ile kullanıcıların tercihlerinin paylaşımının gerekeceği göz önünde bulundurulmalıdır.

Tüm bu nedenlerle, TCF uyarınca gerçekleştirilen faaliyetler GVKT’nin 4/2. Maddesi uyarınca veri işleme faaliyeti olarak kabul edilmiştir.

• Veri Sorumlusunun Kim Olduğu ve Sorumluluğun Kimde Olduğu Tartışması

Belçika Veri Koruma Kurumu, konuyu, (1) Avrupa Veri Koruma Kurumu (European Data Protection Board) ve Avrupa Birliği Adalet Divanı’nın genişletilmiş veri sorumlusu yorumu, (2) kişisel veri işleme faaliyetinin amaçlarının belirlenmesi ve (3) kişisel veri işleme faaliyetinin araçlarının belirlenmesi şeklinde üç başlıkta ele almıştır.

Avrupa Veri Koruma Kurumu veri sorumlusunun tespitinde, veri işleme faaliyeti üzerinde karar alma ve veri işleme faaliyetini izleme gücünün değerlendirilmesi gerektiğini ifade etmektedir.[4] Avrupa Adalet Divanı ise, Yehova Şahitleri Kararında[5] veri sorumlusu kabul edilmek için veriye erişimin şart olmadığına karar vermiştir. Özellikle bu karar, Belçika Veri Koruma Kurumu tarafından, ilgili kişilerin etkili ve eksiksiz korunabilmesi açısından işbu dosyaya doğrudan uygulanabilir bulunmuştur. Kararda, veri sorumlusunun veriyi bizzat işlemesinin, veriye erişime onay vermesinin şart olmadığı; IAB Avrupa’nın katılımcıların kullanımına senelik 1.200€ karşılığında sunduğu TCF sistemi dolayısıyla veri sorumlusu kabul edileceği vurgulanmıştır. Ayrıca, veri sorumlusunun ve sorumluluğun tespitinde ilgili kişilerin hak ve özgürlüklerine etki etme kabiliyeti de göz önünde bulundurulmalıdır. Bu bağlamda, katılımcıların IAB Avrupa tarafından getirilen hedeflere TCF olmaksızın erişilemeyeceği kabul edilerek IAB Avrupa (1) numaralı kriter uyarınca veri sorumlusu kabul edilmiştir.

Kişisel veri işleme faaliyetinin amaçlarının belirlenmesi yönünden, her ne kadar soruşturma ekibinin bulguları arasında TCF’in kendi başına kişisel veri işleme faaliyeti göstermediği ifade edilmişse de TCF’in, CMP hizmet sağlayıcıları ve reklam teknolojileri sektöründe faaliyet gösteren diğer katılımcılar için uyulacak politika ve teknik spesifikasyonları belirlediği göz önünde bulundurulmalıdır. Aynı zamanda, TC String’in veri işleme amaçlarının IAB Avrupa tarafından belirlendiği de anlaşılmaktadır. OpenRTB yönünden ise, Belçika Veri Koruma Kurumu, TCF’in “dolaylı olarak OpenRTB kullanımına teşvik etmek” amacıyla kullanıma sunulduğu yorumunu yapmakta, TCF ile OpenRTB’nin birbiriyle olan tamamlayıcı ilişkisini vurgulamakta, IAB Avrupa tarafından geliştirilen TCF’in, IAB Tech Lab tarafından geliştirilen OpenRTB ile bu ilişkisini ise manidar bulmaktadır. [6] Belçika Veri Koruma Kurumu, TCF metninin 21.3. numaralı versiyonunun 32. örneğinde verilen veri işleme amaçları listesinin IAB Avrupa tarafından katılımcılara zorunlu tutulduğunu vurgulayarak, TC String’in ve TCF’in amaçlarının IAB tarafından tesis edildiği sonucuna varmaktadır. Bu bağlamda IAB Avrupa (2) numaralı kriter uyarınca da veri sorumlusu kabul edilmektedir.

Kişisel veri işleme faaliyetinin araçlarının belirlenmesi yönünden, katılımcıların sisteme katılabilmesi için “Kullanım Koşulları” imzalatıldığı, CMP’lerin kullanıcının onayını nasıl alacağı ve TC String’i nasıl oluşturacağının IAB Avrupa tarafından belirlendiği[7], TC String’in hangi meta verileri içereceğinin IAB Avrupa tarafından belirlendiği, Alıcı gruplarının IAB Avrupa tarafından belirlendiği, veri işleme süresinin IAB Avrupa tarafından belirlendiği bulgularına dayanılarak veri işleme araçlarını belirleyenin IAB Avrupa olduğu sonucuna varılmıştır. Böylelikle (3) numaralı kriter de sağlanmıştır.

Tüm bu nedenlerle, TCF uyarınca gerçekleştirilen veri işleme faaliyetlerinde IAB Avrupa veri sorumlusu olarak kabul edilmektedir.

• CMP Hizmeti Sağlayıcılar, Web Sitesi Yayıncıları ve Reklam Teknolojileri Şirketlerinin[8][9] Ortak Veri Sorumluluğunun Değerlendirilmesi

Belçika Veri Koruma Kurumu, IAB Avrupa tarafından kurulan ekosistemin yalnızca kullanıcı rızasının, kullanıcının rıza vermediği hallerin ve diğer tercihlerinin kaydedilmesi için kullanılmadığını, bunun yerine yayıncılar ve reklam teknolojileri şirketleri gibi üçüncü taraflar tarafından daha ileri veri işleme faaliyetleri için kullanıldığını vurgulamaktadır.

CMP’ler, kullanıcının rıza verip vermediğinin ve diğer tercihlerinin TC String’de depolanması, depolanan verilerin kullanılan tarayıcı içerisinde euconsent-v2 adlı çerez formatında tutulması işlevini yerine getirmekte ve son olarak reklam teknolojileri şirketlerine, kullanıcının rıza verip vermediğine ve diğer tercihlerine erişim sağladıkları bir ara yüz sunmaktır. CMP hizmeti sağlayıcılar, TCF’e katılırken IAB Avrupa tarafından belirlenmiş bir takım amaç ve fonksiyonları kendi ara yüzlerine entegre etmek durumundadır. Daha önce belirtildiği gibi, TC String’in kendi başına kişiyi veya cihazı belirlenebilir kılmadığı sabittir. Ancak, TC String bir bilgisayara yerleştirildikten sonra, CMP hizmeti sağlayıcısı bu TC String’e bir eşsiz tanımlayıcı (örneğin IP adresi) atayabilmektedir. Ek olarak, CMP ara yüzünün kullanılması ve işleyebilmesi için http(s) talebi gönderildiğinden, hem web sitesini yayına alan yayıncının (web sitesi sahibinin) hem de CMP hizmeti sağlayıcısının kullanıcı IP adresine ulaşımı mümkün olmaktadır. IP adresine erişim de göz önünde tutulduğunda, Belçika Veri Koruma Kurumu CMP’lerin büyük hacimlerde kişisel veri işlediği kanaatine varmıştır.

CMP hizmeti sağlayıcılar, web sitesi ziyaretçisinin doğrudan karşılaştıkları bir ara yüz sağladığı için ilgili kişinin tercihleri üzerinde doğrudan etki sahibidir. Dolayısıyla, CMP’ler, yalnızca TCF kapsamında değil, OpenRTB kapsamında işlenen kişisel veriler için de anahtar bir roldedir. Bununla birlikte CMP’lerin, rıza verilmesi sırasında Küresel Katılımcılar Listesi[10] denilen bir listeye kayıtlı bütün reklam teknolojisi şirketlerini (verilen rıza ve yapılan tercihler kapsamında bu şirketlere veri aktarımı gerçekleştirilecek veya gerçekleştirilmeyecektir) kullanıcıları opt-in şekilde sunmak durumundayken, kimi durumlarda opt-out olarak sunulduğu veya bu listenin yayınlanmasının web sitesi yayıncısına zorunlu tutulduğu gibi uygulamalar görülmüştür. IAB Avrupa ise, CMP tarafından işlenen verilerin veri işleme araçlarını büyük oranda belirliyor olmakla birlikte, aktarılan verilerin alıcılarını da sisteme dahil edip etmediği reklam teknolojileri şirketleri ile belirlemektedir.

Tüm bunlarla birlikte TCF’de öngörülen gerekliliklerin CMP’ler için asgari gereklilikler olduğu, dolayısıyla GVKT’ye tam anlamıyla uyumlu bir CMP sistemi kurmanın büyük oranda CMP hizmet sağlayıcılara ve web sitesi yayıncılarına kaldığı vurgulanmaktadır.

Yayıncılar yönünden ise, yayıncılar OpenRTB sistemi üzerinden bir teklif talebi (bid request) düzenleyerek alıcı tarafa iletmektedir. Bu noktada IAB Avrupa’nın bu teklif talebinin içeriğine herhangi bir müdahalesi olmadığı soruşturma ekibi tarafından da doğrulanmıştır. Satıcı taraf olan yayıncılardan alıcı taraf olan reklam teknolojileri şirketlerine gönderilen teklif talebinin içeriği tamamen yayıncılar tarafından belirlenmektedir. Bu teklif talebi, bu talebi tanımlayan en az bir eşsiz tanımlayıcı ve satılmak istenen reklam alanını tanımlayan en az bir eşsiz tanımlayıcı içermektedir. Tipik olarak ise, çoğunlukla, o anda web sitesini ziyaret etmekte olan kullanıcının cihazı, kullanıcı bilgileri, web üzerinden mi uygulama üzerinden mi bağlanıldığı ve satılmak istenen reklam alanı hakkında teknik bilgileri ve TC String’i (TC String’in kullanıcı kimliğini belirlemek için kullanıldığı ve kişisel veri olarak nitelenmesi gerekeceği bu noktada bir kere daha vurgulanmaktadır.) içermektedir. Tüm bu veriler yalnızca yayıncılar tarafından işlenmektedir ve web sitesi ziyaretçisinin, yayıncı ve CMP hizmet sağlayıcısı tarafından konulan ve optimize edilen banner’da “Tümünü Kabul Et” butonuna sadece tıklaması ile yüzlerce üçüncü kişiye veri aktarımına sebebiyet vermektedir.

Tüm bu sayılanlar ışığında TCF’e katılan CMP’ler ve web sitesi yayıncıları IAB Avrupa ile birlikte ortak veri sorumlusu kabul edilmiştir.

Reklam teknolojileri şirketleri ise TCF’e katılırken veri işleme amaçlarını önceden IAB Avrupa tarafından tayin ve dizayn edilmiş bir liste üzerinden seçerek belirtmektedir. Bu sebeple TCF katılımcısı reklam teknolojileri şirketleri ortak veri sorumlusu kabul edilmiştir.[11]

• Veri İhlali İddiasının Değerlendirilmesi
  • Hukuka uygun ve adil veri işleme (GVKT m. 5/1-a ve 6) yönünden

Kullanıcının rıza verip vermediği ve diğer tercihlerinin kaydedilmesine yönelik olarak gerçekleştirilen veri işleme faaliyeti için, veri işlemenin hukuki sebebi hakkında kullanıcıların hiçbir noktada bilgilendirilmedikleri tespit edilmiştir. Halbuki, TC String’in kişisel veri, ilgili faaliyetlerin ise veri işleme faaliyeti olarak tanımlandığı düşünüldüğünde veri işleme sebeplerinin GVKT m. 6 uyarınca sınırlı olarak sayılması gerekmektedir. Aynı zamanda kullanıcılar TC String dolayısıyla depolanan tercihlerinin kimlerle paylaşıldığı ve kimlere aktarıldığı noktalarında da bilgilendirilmemektedir.

Bununla birlikte, ilgili kişi ile CMP’lerin veya IAB Avrupa’nın doğrudan bir sözleşmesel ilişki bulunmayan ve euconsent-v2 çerezine rıza verilen haller için hukuka uygunluk sebebinin meşru menfaat olup olmayacağının tartışılmasında Avrupa Birliği Adalet Divanı’nın üçlü yaklaşımı benimsenmiştir: (1) veri işleme ile elde edilen meşru olarak nitelendirilen amaçların meşruluğu (amaç testi), (2) söz konusu veri işleme faaliyetinin ilgili amaçlara ulaşılabilmesi için gerekli olduğu (gereklilik testi), (3) bu menfaatler ile ilgili kişilerin temel hak ve özgürlükleri ile kendi menfaatleri arasında dengenin sağlanması (denge testi).[12]

Belçika Veri Koruma Kurumu, kullanıcının hukuka uygun olarak verdiği rızayı ortaya koyabilmek amacıyla gerçekleştirilen söz konusu veri işleme faaliyetinin (1) numaralı kriteri sağladığını ve katılımcıların “kullanıcıya yönelik reklam sağlayabilme amacını” meşru bulduğunu ifade etmiştir.

(2) numaralı kriter için, veri işleme ile hedeflenen sonuca ilgili kişinin temel hak ve hürriyetlerine daha az müdahil olan bir yöntemle ulaşılıp ulaşılamayacağı sorusu, veri minimizasyonu ilkesi de göz önünde bulundurularak sorulmalıdır.[13]  Belçika Veri Koruma Kurumu, TC String ile elde edilen kişisel verilerin, hukuka uygun olarak rıza veren kişinin kim olduğunu ortaya koymak için gerekli olduğunu tespit ederek (2) numaralı kriterin de sağlandığını ifade etmiştir.

(3) numaralı kriter için yapılacak değerlendirmede ise, ilgili kişinin veri işleme hakkındaki makul beklentileri[14] gözetilmelidir. Bu noktada, kullanıcının TCF uyarınca tercihlerinin işlenmesinin tamamen önüne geçecek bir yöntem bulunmamasını, yapılan tercih ne olursa olsun, CMP’nin bir TC String üreterek bunu eşsiz bir kullanıcı adı ile eşleyerek cihaza euconsent-v2 çerezini yerleştirdiği özellikle vurgulanmıştır. Yani kullanıcı çerez ve diğer veri işleme yöntemlerinin “tümünü reddetse” bile, tümünü reddettiğini bildiren bir euconsent-v2 çerezi oluşturulmaktadır. Aynı zamanda ilgili kişilerin böyle bir veri işleme faaliyetine karşı itiraz hakkını (right to object) kullanabileceklerine ilişkin bir bilgilendirme de yoktur. Bununla birlikte, denge testinde işlenen verinin mahiyeti, hassasiyeti, işleme yönteminin özellikleri, nasıl erişildiği gibi hususlar da[15] göz önünde bulundurulması gerektiği vurgulanarak çok sayıda katılımcının TC String’e erişebilmesi ve ilgili kişinin veri işleme faaliyetinin kapsamı ve şekli üzerindeki kontrolünün hayli azaltılmış olması bir arada değerlendirilmiştir. Bununla birlikte, tüm bu hususlar bağlamında (3) numaralı kriterin yerine getirilmediği tespit edilmiştir. Denge testinin gerçekleştirilmesi için, meşru menfaatin yürürlükteki hukuka uygun olması, amacın teste sokulabilecek denli açık ve belirli olarak ifade edilmiş olması ve gerçek ve güncel olması şartları aranacağı, GVKT’nin 6/1. Fıkrası uyarınca veri işlemenin ancak bu test sonucunda mümkün olacağı ve meşru menfaat seçeneğinin yalnızca belirtilmek suretiyle kullanılamayacağı da ayrıca belirtilmiştir.

Ek olarak, CMP’ler aracılığıyla alınan rıza, özgürce verilme, belirli olma, bilgiye dayanma ve açık olma koşullarını sağlamadığından hukuka aykırı bulunmuştur. Burada, CMP’lerin, TCF ile sunulan 12 standart amaç içerisinden veri işleme amaçlarını seçtiği, bu amaçların ilgili kişilere veri işlemenin doğasına ve özelliklerine dair neredeyse hiç bilgi sağlamadığı ve belirsiz olduğu, dosyada mevcut CMP ara yüzlerinin hangi kişisel verilerin işlendiğine dair bir tablo sunmadığı, CMP aracılığıyla veri işlemesine rıza verilen katılımcının operasyonları hakkında verilen bilgilerin yetersiz olduğu, dolayısıyla bilgiye dayalı bir rıza vermenin mümkün olamayacağı ve hatta OpenRTB süreçlerine dahil olan alıcı ve satıcı tarafların ellerindeki teklif taleplerinin içerikleri dolayısıyla tuttukları kişisel veri ile ilgili TCF’in katılımcılara, ilgili kişileri nasıl bilgilendireceklerine dair hiçbir yönlendirme getirmediği ve TCF’in mevcut haliyle sadece bilgiyi vermenin de mümkün olamayacağı ve CMP üzerinden verilen rızanın aynı kolaylıkla geri alınamadığı gözetilerek de 6. maddenin ihlal edildiği vurgulanmıştır.

CMP’ler için TCF tarafından kullanımı zorunlu tutulan standart ifadeler de kararda vurgulanmaktadır. Belçika Veri Koruma Kurumu, TCF’de geçen özellikle “Kullanıcı ara yüzünde, standart hukuki metinler kullanılması zorunludur” ifadesinin CMP’ler ve yayıncıların daha kullanıcı dostu ve açık ifadeler ile ilgili kişiyi bilgilendirebilme opsiyonlarının önünü kapattığını vurgulamaktadır.

Veri işleme sebebi olarak bir sözleşmenin kurulması veya sözleşmeden doğan yükümlülüğün yerine getirilmesi amacıyla veri işleme gerekçesinin ileri sürülmesi yine 6. Maddeyi ihlal eden tespitler arasında sayılmıştır.

OpenRTB süreçleri bağlamında toplanan ve aktarılan kişisel verileri Avrupa Adalet Divanı’nın üçlü testine sokan Belçika Veri Koruma Kurumu, (1) numaralı amaç testi yönünden “ekonomik menfaatin” meşru menfaat olarak değerlendirilip değerlendirilmeyeceği yönünden herhangi bir kanaat belirtmemiş, ancak veri işleme faaliyetinin belirlilikten yoksun olduğu gerekçesiyle birinci kriterin sağlanmadığını belirtmiştir. (2) numaralı gereklilik testi yönünden, gereksiz verilerin işlenmediğini ortaya koyan bir tedbir bulunmadığını vurgulayarak ikinci kriterin sağlanmadığını belirtmiştir. (3) numaralı denge testi yönünden ise, veri işleme faaliyetinin kullanıcı üzerindeki etkisini, verinin aktarıldığı tarafların sayıca çokluğunu, aktarılan veri miktarını bir kere daha vurgulamış, EPDB’ye atıfla[16] davranışsal reklamcılık içeren doğrudan pazarlama uygulamaları için meşru menfaat gerekçesine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilemeyeceğini belirtmiş ve üçüncü kriterin de sağlanmadığı sonucuna varmıştır.

Yukarıda izah edilenler çerçevesinde, Belçika Veri Koruma Kurumu, OpenRTB ve TCF bağlamında gerçekleştirilen veri işleme faaliyetleri için geçerli bir hukuki sebebin olmadığına ve GVKT’nin 6. maddesinin ihlal edildiğine karar vermiştir.

• İlgili kişiye karşı şeffaflık yükümlülüğü (GVKT m. 12, 13 ve 14) yönünden

İlk olarak TCF politikalarında, IAB Avrupa’nın CMP’lerden “rıza kayıtlarını” talep edebileceği belirtilmiş, ancak kullanıcılar IAB Avrupa tarafından gerçekleştirilebilecek böylesi bir veri işleme hakkında bilgilendirilmemiştir.

İkinci olarak, bilgi yorgunluğuna sebebiyet vermeden, anlaşılır, şeffaf, açık ve erişilebilir bir surette bilgilendirme yükümlülüğü[17] yerine getirilmemiştir.

Yukarıda izah edilenler çerçevesinde, Belçika Veri Koruma Kurumu, TCF bağlamında gerçekleştirilen veri işleme faaliyetlerinde şeffaflık yükümlülüğünün yerine getirilmediğine karar vermiştir.

• Hesap verilebilirlik (GVKT m. 24), kendiliğinden ve tasarım ile verinin korunması (GVKT m. 25), güvenilirlik ve gizlilik (GVKT m. 5/1) ve güvenlik (GVKT m. 32) yönlerinden

TC String’in güvenliğinin sağlanmasına yönelik idari ve teknik tedbirlerin alınmadığı kararda vurgulanmaktadır. Her gün, TCF dolayısıyla büyük sayılarda TC String üretildiği düşünüldüğünde, sürece dahil olan bütün taraflar için idari ve teknik tedbirlere ilişkin düzenlemelerin uygulama alanı bulacağı tartışmasızdır. TCF’in, IAB Avrupa tarafından OpenRTB sisteminin GVKT’ye uygun olarak yürütülmesinin sağlanmasına yönelik yaratıldığı düşünüldüğünde, sisteme katılan bütün katılımcıların gerekli idari ve teknik tedbirleri almasının (en azından TCF uyarınca getirilen yükümlülüklere uyulmasının) sağlanmasının IAB Avrupa sorumluluğunda olduğu ifade edilmiştir.

Bu yönden, IAB Avrupa, CMP aracılığıyla alınan rızanın hukuka uygun olduğundan, tercih içeriğinin veri işlemeye rıza göstermekte olduğundan, bu rızaya dayalı olarak veri işleme faaliyeti gerçekleştiren katılımcıların rızaya gerçekten erişim sağladığından emin olmak zorundadır. Halbuki, IAB Avrupa tarafından böyle bir denetleme sistemi olmadığından, CMP’ler tarafından “sahte rızaların” oluşturularak diğer katılımcılara iletilmesi mümkün olmaktadır. Her ne kadar, TCF politikalarında “TCF Katılımcı Uyum Programı” gibi bir denetim sistemi öngörülmüşse de TCF kurallarının uygulanıp uygulanmadığını rutin olarak denetleyen ve izleyen bir sistemin eksikliği ihlale sebebiyet vermektedir. Yine, TCF’e uymayan bir katılımcıya öngörülen yaptırımların önleyici etkiden yoksun olması, üç kereye kadar politika ve kuralların ihlaline izin veriliyor ve bunu düzeltmek için katılımcıya yirmi sekiz gün süre veriliyor olması IAB Avrupa tarafından caydırıcı bir düzenin kurulmadığını göstermektedir.

Dolayısıyla Belçika Veri Koruma Kurumu hesap verilebilirlik, kendiliğinden ve tasarım ile verinin korunması, güvenilirlik ve gizlilik, güvenlik yükümlülüklerinin ihlal edildiğine karar vermiştir.

Bu noktada, Belçika Veri Koruma Kurumu, her ne kadar şikayetçiler tarafından Avrupa Ekonomik Alanı dışına veri aktarımı olduğu iddia edilmiş olsa da soruşturma ekibi tarafından bu konuya yönelik araştırma yapılmadığından böylesi bir ihlal dolayısıyla yaptırım uygulayamayacağını belirtmiştir. Ancak bütün TCF katılımcılarının, Avrupa Ekonomik Alanı dışına veri aktarımı konusunda GKVT’ye uyması gerektiğini belirtmiştir. Aynı zamanda, IAB Avrupa’nın katılımcıları üzerinde bu soruna yönelik gerekli denetim mekanizmasını kurması gerektiğini vurgulamıştır.

• Diğer ihlal iddiaları yönünden

• Amaçla sınırlılık ve veri minimizasyonu: Her ne kadar, kararda, OpenRTB uyarınca işlenen kişisel verilerin amaçla sınırlılık ve veri minimizasyonu ilkelerine uyarlık göstermediği ifade edilmişse de OpenRTB süreçlerinde IAB Avrupa’nın veri sorumlusu gibi davranmadığı ve TCF uyarınca gerçekleşen veri işleme faaliyetlerinde TC String ve bununla bağlantılı euconsent-v2 sayılı çerez ile işlenen verilerin sınırlandığı gözetildiğinde, Belçika Veri Koruma Kurumu, bu ilkeler yönünden ihlal bulunmadığına hükmetmiştir.
• Süreyle sınırlılık: Belçika Veri Koruma Kurumu, süreyle sınırlı olarak veri işleme ilkesi yönünden, TC String ve diğer yollarla işlenen kişisel verilerin, bu ilkeye aykırı olarak işlendiğine yönelik yeterli delil bulunmadığından ihlal olmadığına hükmetmiştir.
• Güvenlilik ve gizlilik: Yukarıda belirtilen, TC String’in yetkisiz olarak değiştirilebilmesinin mümkün olduğu ve nihayetinde kişisel verilerin hukuka aykırı veya yanlış amaçlarla işlenebileceği, rızanın yanlış katılımcılara aktarılabileceği ihtimalleri gözetilerek TCF’in mevcut hali verinin korunmasında güvenlilik ve gizlilik ilkelerine aykırı bulunmuş ve GVKT’nin 5/1-f bendini ihlal ettiğine hükmedilmiştir.
• Özel nitelikli kişisel verilerin işlenmesi: Soruşturma ekibi tarafından yürütülen teknik analizde ortaya konulduğu üzere, TC String, ziyaret edilen web sitesini tasnif etmeye yönelik bir veri içermemektedir. İlgili web sitesi tasnif edilmeden kişinin ayrımcılığa uğrayabileceği hassas verilerinin işlenmesini mümkün görmeyen, Belçika Veri Koruma Kurumu, özel nitelikli kişisel verilerin işlenmediğini kabul ederek herhangi bir ihlal bulunmadığına hükmetmiştir.
• İlgili kişinin haklarını kullanması: Bu noktada Belçika Veri Koruma Kurumu, şikayetçilerin, ilgili kişinin haklarının TCF uyarınca kullanılmasının imkânsız olduğuna yönelik iddiaların soruşturma ekibi tarafından teyit edilmediğini vurgulayarak, delil eksikliği dolayısıyla gerekçelendirmesini sınırlı tutacağını belirtmektedir. Yine de Belçika Veri Koruma Kurumu, ilgili kişilerin CMP aracılığıyla kolaylıkla rıza verebilmelerine rağmen aynı kolaylıkla bu rızayı geri çekmelerine yönelik TCF’in herhangi bir düzenleme getirmediğini, yine de ilgili kişinin haklarını kullanması konusunda gerekli kolaylığın sağlanması gerektiğinin TCF politikalarında belirtildiğini, böylesi bir durumda yayıncıların ve CMP’lerin ortak sorumluluğunun doğacağını kabul ederek IAB Avrupa ve TCF yönünden herhangi bir ihlal bulunmadığına hükmetmiştir.
• Veri işleme faaliyetlerinin kayıtlarının tutulması: Belçika Veri Koruma Kurumu, IAB Avrupa tarafından veri işleme faaliyetlerinin kaydının tutulmadığını belirterek, IAB Avrupa’nın TCF aracılığıyla kurduğu ekosistemin katılımcılar ile yakın yapısı ve IAB Avrupa’nun “Yönetici kuruluş” rolünü vurgulayarak GVKT’nin 30/1. maddesinin ihlal edildiğine hükmetmiştir.
• Veri koruma etki değerlendirmesi: Belçika Veri Koruma Kurumu, TCF katılımcısı şirket ve web siteleri veya uygulamaların sayısının arttığını, TCF uyarınca gerçekleştirilen veri işleme faaliyetinin büyük hacimde olduğunu vurgulayarak bir veri koruma etki değerlendirmesi yapması gerektiğini belirtmiş, bu bağlamda GVKT’nin 35. maddesinin ihlal edildiğine hükmetmiştir.
• Veri koruma görevlisinin atanması: GVKT’nin 37. maddesinde veri koruma görevlisinin “veri sorumlusu veya veri işleyenin ilgili kişilerin hareketlerinin rutin ve sistematik olarak büyük hacimlerde izlemesi” halinde atanması gerektiği hükmü haizdir. Büyük hacimlerde veri işleme faaliyeti kriteri yönünden, ilgili kişilerin sayısı, işlenen verilerin çeşitliliği, veri işlemenin süresi veya kalıcılığı, veri işlemenin coğrafi kapsamı değerlendirildiğinde TCF’in büyük hacimlerde veri işlediği sonucuna varılmıştır. Rutin olarak veri işleme kriteri yönünden, sürekli olarak veri işleme faaliyetini gerçekleştirdiği sonucuna varılmıştır. Sistematik olarak veri işleme kriteri yönünden, TCF kapsamındaki veri işleme faaliyeti bir sistem kapsamında, önceden organize edilmiş şekilde, genel olarak veri toplama planının bir parçası olarak gerçekleştiğinden bu kriterin de sağlandığı sonucuna varılmıştır. Sonuç olarak, Belçika Veri Koruma Kurumu, IAB Avrupa’nın veri koruma görevlisi ataması gerekirken atamaması sebebiyle GVKT’nin 37. Maddesinin ihlal edildiğine hükmetmiştir. 

5. Uygulanan Yaptırımlar

İlk olarak OpenRTB sistemi New York’ta bulunan IAB Tech Lab tarafından geliştirilip işletildiği için Belçika Veri Koruma Kurumu, OpenRTB yönünden yetkisiz olduğunu kararın çeşitli noktalarında vurgulayarak, uygulanacak yaptırımların TCF kapsamında kalacağını belirtmiştir. Bu bağlamda, IAB Avrupa’nın uygulamada eksik kaldığı hususlar gözetilerek aşağıdaki yaptırımlar karara bağlanmıştır:

1. Veri işlemenin ve kullanıcı tercihlerinin TCF uyarınca TC String ve euconsent-v2 aracılığıyla aktarılmasına geçerli bir hukuki temellendirme yapılarak hukuka uygun, adil ve şeffaf veri işlemenin sağlanmasına yönelik olarak TCF’in uyumlu hale getirilmesi, TC String aracılığıyla bugüne kadar toplanmış kişisel verilerin silinmesi ve TCF’in mevcut halinde meşru menfaat sebebinin veri işlemenin hukuki sebebi olarak benimsenmemesi,
2. TCF katılımcısı CMP’lerin GVKT’ye uyumluluğunun sağlanması ile şeffaflık ve ilgili kişinin bilgilendirilmesi (özellikle işlenen kişisel veri kategorileri, veri işleme amaçları, veri işlemenin hukuki sebepleri hakkında, net, açık ve anlaşılır bir şekilde) yükümlülüğünün yerine getirilmesi,

• TC String’in yanlış kullanımını önleyen ve katılımcıları gözetleyen bir teknik ve idari tedbir sistemi tesis edilerek güvenilir ve güvenli veri işleme ile kendiliğinden veya tasarım ile verinin korunması ilkelerine uyumluluğun sağlanması,

1. Veri işleme faaliyetlerinin kaydının tutulması,
2. Hem TCF hem de OpenRTB yönünden veri işleme etki değerlendirmesinin gerçekleştirilmesi,
3. Veri koruma görevlisinin atanması.

Bu talimatlara uyması için IAB Avrupa’ya 6 aylık süre verilmiştir. Bu sürenin sonunda talimatlara uyulmayan her gün için 5.000€ para cezası öngörülmüştür.

Ek olarak hukuka aykırılık bulunan veri işleme faaliyetlerinde ihlal edilen ilkelerin önemi, veri işleme faaliyetinin doğası ve kapsamı, etkilenen ilgili kişi sayısı, ihlallerin süresi ve IAB Avrupa’nın ihmali tutumu, veri sorumlusunun sorumluluk derecesi, kurum ile işbirliği içerisinde bulunma derecesi, etkilenen kişisel veri kategorileri gibi bütün hafifletici ve ağırlaştırıcı sebepler gözetilerek, 250.000€ para cezasına itiraz yolu açık olmak üzere hükmedilmiştir.

***

IAB Avrupa yöneticileri, kararı müteakip verdikleri çeşitli demeçlerde karara karşı itiraz yollarına başvuracaklarını belirttiler. IAB’in medya, sosyal medya, bilişim, reklamcılık, finans gibi çeşitli sektörlerden pek çok tanıdık ve büyük aktörü bünyesinde barındırdığı, TCF’in ise Google tarafından dahi açıkça tamamıyla benimsendiği düşünüldüğünde, kâr amacı gütmeyen bir kuruluş olan IAB Avrupa hakkında verilen bu (GVKT uygulama standartlarınca) küçük tutarlı cezanın, interaktif reklamcılık sektöründe büyük değişimlere sebebiyet verebileceği, TCF politikalarını benimseyen yüksek cirolu şirketlerin çok daha yüksek tutarlı cezalarla karşılaşabileceği düşünülmektedir.

Kararın İngilizce versiyonuna aşağıdaki linkten ulaşabilirsiniz:

https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-21-2022-english.pdf#page111

[1] Real time Bidding Market Size, Share, Trends, Growth, And Regional Forecast 2024 — Steemit

[2] Open RTB’nin işleyişi hakkında detaylı rehber için bkz: Open RTB API Specification Version 2.5, Aralık 2016, IAB

[3] Bkz: Avrupa Birliği Adalet Divanı C-582/14 sayılı Dosya, 19.10.2016, Patrick Brever v. Almanya.

[4] Bkz: EDPB 07/2020 Sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Rehber.

[5] Bkz: Avrupa Adalet Divanı C-25-17 sayılı Dosya, 10.07.2018

[6] Bu noktada belirtmek gerekir ki, Belçika Veri Koruma Kurumu, TC String’in TCF’de sayılı amaçlar dahilinde kullanımının, TCF’e aykırı olarak veri işleme faaliyetlerinden ayrı tutulması gerektiğini vurgulamaktadır. (Hazırlayanın Notu)

[7] Avrupa Adalet Divanı’nın C-210/16 sayılı Dosya, 05.06.2018, 39. Paragraf.

[8] İşbu karar özeti genelinde, bunlara toplu olarak “Katılımcılar” şeklinde atıf yaptık. (Hazırlayanın notu)

[9] Web sitesi yayıncıları, OpenRTB ile sağlanan veri aktarımlarının satıcı (Supply Side Platform) tarafında bulunan yayıncıları; Reklam teknolojileri şirketleri ise alıcı (Demand Side Platform) temsilcilerini; CMP’ler ise Consent Management Platform hizmet sağlayıcılarını işaret etmektedir. (Hazırlayanın notu)

[10] Liste TCF katılımcılarından müteşekkil bir liste olup, şirket bazlı olarak rıza vermeyi (örneğin birkaç şirkete verip birkaç şirkete vermemeyi) mümkün kılmak amacıyla dizayn edilmiştir. (Hazırlayanın notu)

[11] Belçika Veri Koruma Kurumu, bu noktada aktardığımızdan başkaca herhangi bir değerlendirmede bulunmamıştır. (Hazırlayanın notu)

[12] Avrupa Birliği Adalet Divanı’nın C-13/16 sayılı Dosyası, 04.05.2017, 28-31. Paragraflar. Uygulamada Rigas kararı olarak bilinmektedir.

[13] Avrupa İnsan Hakları Sözleşmesinin 7 ve 8. Maddelerine atıfla.

[14] Bkz: GVKT 47 numaralı Resital ve Avrupa Birliği Adalet Divanı’nın C-708/18 sayılı Dosyası, 11.12.2019, 58. Paragraf.

[15] Avrupa Birliği Adalet Divanı’nın C-708/18 sayılı Dosyası, 11.12.2019, 56. Paragraf.

[16] Bkz: 29. Madde Çalışma Grubu’nun “amaçla sınırlılık” hakkında 03/2013 numaralı görüşü.

[17] Bkz: 29. Madde Çalışma Grubu’nun “GDPR Uyarınca Şeffaflık Rehberi”