AVRUPA VERİ KORUMA KURUMU’NUN WHATSAPP İRLANDA İLE İLGİLİ BAĞLAYICI KARARI

Hazırlayanlar: İlke Koşar – Kübra Durmuş

Bilindiği gibi Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GVKT”) birden fazla ülkede uygulanıyor olması ve bazı veri sorumlularının birden fazla ülkede faaliyet göstermesi nedeniyle bu veri sorumlusunun GVKT’ye aykırı davranması halinde bu sınır aşan veri işleme faaliyetleri ile ilgili olarak hangi veri koruma otoritesinin yetkili olacağı sorunları ortaya çıkabilmektedir. Bu soruna çözüm olarak GVKT’nin 55. maddesinde bir veri koruma otoritesi (“VKO”), baş VKO olarak incelemeyi yapmakla yetkili kılınmaktadır. Baş VKO belirlenmesi, her bir ulusal veri koruma otoritesinin kendi ülkesindeki faaliyetlerle sınırlı olarak inceleme yapma yetkisine halel getirmez. Böyle bir durumda ulusal VKO, baş VKO’yu derhal bilgilendirmelidir. Bilgilendirmeye istinaden baş VKO konuyu ele alıp almamaya karar vermelidir. Şayet konuyu ele almaya karar verirse, ulusal VKO hazırlayacağı karar taslağını baş VKO ile paylaşmalıdır. Baş VKO kendi karar taslağını hazırlarken kendisine iletilen bu karar taslak(lar)ını göz önünde bulundurmalı ve taslak kararını, görüşlerini almak üzere ulusal VKO’lar ile paylaşmalıdır. Böylece ilgili veri sorumlusu, veri işleme faaliyeti gerçekleştirdiği her ülkede ayrı ayrı olarak VKO’lar ile muhatap olmak yerine yalnızca baş VKO ile muhatap olur.

Bilindiği gibi İrlanda Veri Koruma Otoritesi (“İrlanda VKO”) baş VKO sıfatıyla WhatsApp Ireland Limited (“WhatsApp İrlanda”) yürüttüğü incelemeye istinaden taslak kararını (“Taslak Karar”) diğer VKO’lar ile paylaşmış, diğer VKO’lar ise bu karara karşı şiddetli itirazlar ileri sürmüşlerdi. Bu nedenle VKO’lar arasında bir görüş uyuşmazlığı ortaya çıkmıştı. Söz konusu VKO’lar arasında çıkan bu uyuşmazlığın giderilmesi adına GVKT’nin 65. Maddesi gereğince Avrupa Veri Koruma Kurulu (“EDPB”) 2 Eylül 2021 tarihinde, 1/2021 sayılı ve 28 Temmuz 2021 tarihli bağlayıcı kararını[1] (“Bağlayıcı Karar”) duyurdu. Bu yazı, 89 sayfalık bu karara ilişkin kısaca bilgi vermeyi amaçlanmaktadır.

1. UYUŞMAZLIK ÖZETİ

Bağlayıcı Karar, İrlanda VKO’nun 10 Aralık 2018 tarihinde, WhatsApp İrlanda’nın, GVKT’nin 12., 13. ve 14. maddelerindeki yükümlülüklerine ilişkin olarak tesis ettiği Taslak Karar sebebiyle, Federal Alman VKO, Baden-Württemberg Alman VKO, Fransız VKO, VKO, İtalya VKO, Hollanda VKO, Polonya VKO, Portekiz VKO gibi birtakım ilgili VKO’lar arasında meydana gelen uyuşmazlığı konu almaktadır. Kararda taslak kararı veren İrlanda VKO, baş VKO olarak, itiraz eden VKO’lar ise ilgili VKO’lar olarak ifade edilmiştir.

İrlanda VKO tarafından yürütülen soruşturmanın (“Soruşturma”) kapsamı, WhatsApp İrlanda’nın tüketici hizmetleri ile sınırlı olup, WhatsApp İrlanda’nın ticari kullanım amacıyla sunduğu hizmetleri (WhatsApp for Business) kapsamamaktadır. Soruşturmanın kaynağını ise ilgili kişilerin (hem kullanıcı olan hem de olmayan) WhatsApp İrlanda’nın veri işleme faaliyetleri ile ilgili şikâyetleri ile Federal Alman Veri Koruma Otoritesi’nin GVKT’nin 61. maddesi uyarınca şeffaflık hakkındaki endişeleri oluşturmaktadır. Ancak, İrlanda VKO bu soruşturmanın kendi iradesiyle başlatıldığını, herhangi bir spesifik bireysel şikâyete, başvuruya veya endişeye dayanmadığını ayrıca vurgulamıştır.

Söz konusu Soruşturma, Aralık 2018- Eylül 2019 tarihleri arasında yürütülmüş olup, 24 Aralık 2020 tarihinde Taslak Karar ilgili VKO’lara tebliğ edilmiştir. Devamında, ilgili VKO’lar tarafından Taslak Karar’a karşı görüş ve itirazlar iletilmiş; ortaya çıkan uyuşmazlığın çözümü için Taslak Karar EDPB’ye sunulmuştur. 14 Temmuz 2021 tarihinde ise İrlanda VKO’nun kararına konu dosyanın incelenmesi tamamlanmış ve EDPB Sekretaryası tarafından üyelerin dikkatine sunulmuştur.

2. BAĞLAYICI KARAR ALMANIN KOŞULLARI

EDPB tarafından bağlayıcı bir kararın kabul edilebilmesi için genel koşullar, GVKT’nin 60(4) ve 65(1)(a) maddelerinde düzenlenmiştir. GVKT 60(4) hükmüne göre baş VKO tarafından taslak karar kendileri ile paylaşıldıktan sonra her bir ilgili VKO’nun dört hafta içinde taslak karara yönelik alakalı ve gerekçeli itirazlarını sunması gerekir. Şayet baş VKO, bu itirazlara uygun hareket etmezse veya itirazları alakalı ya da gerekçeli görmeyerek reddederse GVKT’nin 65(1)(a) hükmüne göre EDPB, bağlayıcı bir karar alarak bu kararı yayınlamalıdır.

Somut olayda, ilgili VKO’ların GVKT 60(4) uyarınca itiraz ettikleri ve itirazlar kısaca; (i) GVKT’nin 13(1)(d) maddesinin ihlal edilmesi, (ii) Taslak Karar’da kullanıcı olmayan ilgili kişilere ait kişisel verileri anonimleştirilmiş veri olarak nitelendirilmesi, (iii) GVKT’nin 13(2)(e) maddesi kapsamında bir ihlalin tespit edilmemiş olması, (iv) soruşturmanın kapsamı ve/veya GVKT hükümlerinin olası ek ihlalleri, (v) önerilen idari para cezasının hesaplanması ve (vi) GVKT’nin 83. Maddesinin yorumlanması hususlarında yapılmıştır.

Baş veri koruma otoritesi konumunda olan İrlanda VKO, ilgili VKO’ların itirazlarını alakalı ve gerekçeli görmediği şeklinde başvuruları yanıtlamış ve VKO’lar arasında uzlaşma imkânı bulunmamıştır. Dolayısıyla EDPB, itiraza konu hususlar çerçevesinde GVKT’nin ihlal edilip edilmediği hususunda bağlayıcı bir karar almaya yetkili hale gelmiştir.

3. İYİ YÖNETİM HAKKI

EDPB, AB Temel Haklar Şartı (“EU Charter of Fundamental Rights”) madde 41 hükümlerine tabi olduğundan; söz konusu uyuşmazlığı bu kapsamda değerlendirmiştir. GVKT’nin 65(2). Maddesi gereğince EDPB’nin alacağı bağlayıcı kararın amacı, iki veya daha fazla ulusal VKO arasında ortaya çıkan bir anlaşmazlığı çözmektir. Dolayısıyla bu karar, herhangi bir üçüncü kişiye hitap etmeyi amaçlamaz. Ancak karar, somut olayda baş VKO olan İrlanda VKO için bağlayıcı olacağından ilgili kişilerin menfaatlerini etkileyebilecektir.

Netice olarak ise uyuşmazlık konusu ile ilgili WhatsApp İrlanda’nın, İrlanda VKO tarafından dinlendiği ve EDBP tarafından incelenen dokümanlar ile İrlanda VKO’nun Taslak Kararı’na yöneltilen itirazlar göz önüne alındığında EDPB, bu bağlayıcı kararın alınmasında AB Temel Haklar Şartı’nın ilgili maddesine saygı gösterildiğine inanmaktadır.

4. BAĞLAYICI KARARIN YAPISI

EDPB, ileri sürülen her bir itirazı, GVKT’nin 4(24) maddesi[2] uyarınca “alakalı ve gerekçeli itiraz” olup olmadığı hususunda değerlendirmiştir. Bu bağlamda GVKT’nin ilgili maddesinde ve ilgili rehberlerde belirtilen şartları taşımayan itirazlar, EDPB’nin Bağlayıcı Karar’ın tesisinde bu dikkate alınmamıştır.

5. İRLANDA VKO TARAFINDAN TESPİT EDİLEN İHLALLER

5.1. Veri sorumlusunun veya üçüncü kişinin meşru menfaati ile ilgili GVKT 13(1)(d) maddesinin ihlali

Öncelikle EDPB, WhatsApp İrlanda’nın kendisi tarafından alınacak karardan olumsuz etkilenme olasılığına karşı; İrlanda VKO tarafından yönetilen incelemede dinlenilme hakkını kullanma fırsatı sunulup sunulmadığını ve WhatsApp İrlanda’ya uyuşmazlığın konusuna ilişkin görüşlerini etkin bir şekilde açıklama fırsatı verilip verilmediğini değerlendirmiş ve Avrupa Veri Koruma Kurulu Usul Kuralları madde 11(2) ve Avrupa Birliği Temel Haklar Bildirgesi madde 41’de yer alan iyi idare hakkı çerçevesinde herhangi bir aykırılığın bulunmadığı sonucuna varmıştır. 

İrlanda VKO, WhatsApp İrlanda tarafından gerçekleştirilen veri işleme faaliyetlerine ilişkin olarak kullanıcılara sağlanan bilgileri incelemiştir. Taslak Karar’da bu bilgilerin maddeler halinde sunulduğu belirtilmiş ve her bir amaç açısından hangi meşru menfaatlere dayanıldığı hususunun kullanıcı tarafından açık bir biçimde anlaşılabileceği tespit edilmiştir. İrlanda VKO, WhatsApp İrlanda’nın kendisince veya üçüncü kişilerce meşru menfaate dayanılıp dayanılmadığı hususunda kullanıcılar açısından yeterli bir netlik olduğunu belirtmiştir. Bu sebeple, Taslak Karar’da WhatsApp İrlanda’nın GVKT madde 13(1)(d)’de yer alan yükümlülüklerini tamamen yerine getirdiği, sunduğu bilgilerin açık ve şeffaf olduğu, ilgili kişilerin kişisel verilerinin işlenmesi sürecinde meşru menfaate dayanılması halinde, meşru menfaat tanımıyla ilgili anlamlı bir ön bilgilendirme sunduğu ifade edilmiştir.

İrlanda VKO’nun bu tespitlerine karşı Federal Alman VKO, Polonya VKO ve İtalya VKO tarafından itirazlar ileri sürülmüş ve İrlanda VKO’nun incelemesinin yetersiz olduğu; aslında WhatsApp İrlanda tarafından yapılan meşru menfaat tanımlamasının GVKT madde 13(1)(d)’ye uygun şekilde yapılmadığı ve bu maddedeki yükümlülüklerin de ihlal edilmesi sebebiyle ayrı bir yaptırım uygulanması gerektiği belirtilmiştir.

Her ne kadar İrlanda VKO tarafından, yukarıda sayılan VKO’ların itirazları haklı görülmemiş ise de EDPB’nin bu itirazlar hakkında farklı yorumları bulunmaktadır. Nitekim EDPB, Federal Alman VKO, Polonya VKO ve İtalya VKO’nun itirazlarını GVKT madde 65(1)(a) uyarınca “alakalı” ve “gerekçeli” bulmuş; WhatsApp İrlanda’nın meşru menfaatler ve veri işleme faaliyetleri ile ilgili açıklamalarının yeterince açık ve şeffaf olmadığı kanaatinde olduğunu belirtmiş; bu tespitini ise, WhatsApp İrlanda’nın çeşitli meşru menfaatlere dayandığı ancak bu menfaatlerin ilgili kişilerin kolaylıkla anlayabileceği bir şekilde belirtilmediği, “veri sorumlusunun meşru menfaati” veya “iş ortakları ya da diğer ortakların menfaatleri” şeklindeki bir tanımlamanın madde 13(1)(d)’de yer alan gereklilikleri sağlamadığı argümanları ile gerekçelendirmiştir.

Bu noktada, GVKT’nin 65(1)(a) maddesine göre, EDPB tarafından bu itirazların değerlendirilmesi ve Taslak Karar’ın değiştirilmesi gerekip gerekmediği hususunda nihai ve bağlayıcı bir karara varılması gerekmektedir. EDPB ise, belirli veri işleme faaliyetleri ile meşru menfaatler arasındaki ilişkinin açıkça ortaya konulamamasını GVKT’nin 13(1)(d) maddesine aykırı olarak değerlendirmiş ve Şeffaflık Rehberi’ne^[3] atıfta bulunmuştur. İlgili rehbere göre, söz konusu menfaat, ilgili kişinin yararına olacak şekilde nitelendirilmelidir. Zira veri sorumlusunun ilgili madde kapsamındaki yükümlülüğü, ilgili kişilerin GVKT kapsamındaki haklarını kullanabilmeleri için veri işleme sürecini yeterli ve anlaşılır bir biçimde sunmak olmalıdır. EDPB, ilgili kişinin haklarını düzgün bir biçimde kullanabilmesi için, her bir işleme sürecinde hangi meşru menfaatin ilişkili olduğunun açık ve net bilgiler ile ortaya konulması ve hangi kuruluşun hangi meşru menfaate dayalı olarak işleme sürecine dâhil olduğunun belirtilmesi gerektiğini ifade etmiştir. Bu açıklamalar ışığında, WhatsApp İrlanda’nın Hukuki Dayanak Metni’nin madde 13(1)(d)’deki yükümlülüğe uygun şekilde hazırlanmadığı gerekçesiyle İrlanda VKO’nun bu madde ile ilgili tespitlerini revize etmesi ve bu maddenin de ihlal edildiğini nihai kararına dâhil etmesi gerekmektedir.

6. “LOSSY HASHING” (KAYIPLI ÖZETLEME) USULÜ

İrlanda VKO, Taslak Karar’ın ilk aşamasında, WhatsApp İrlanda’nın “Lossy Hashing” (Kayıplı Özetleme) usulünü değerlendirmiş; bu usulü uygulamak için WhatsApp İrlanda’nın kullanıcı olmayanların telefon numaralarını işlediğini tespit etmiş ve telefon numarasının kişisel veri niteliğini haiz olduğunu belirtmiştir. Ancak, WhatsApp İrlanda Taslak Karar’da “Notification Hash” (Bildirim Özetleme) kullanıldığı kanaatine varmış olduğundan; güncellenen ve yeni elde edilen bilgiler ışığında, Notification Hash usulünün uygulanmasının kişisel veri meydana getirmediğini belirterek, önceki tespitlerinin aksine bir argüman oluşturmuştur. Neticede bu tespit, WhatsApp İrlanda’nın GVKT’nin 14. Maddesindeki yükümlülüğünü yerine getirmediği bulgusunu ortadan kaldırmamakla birlikte; İrlanda VKO’nun ihlal sebebiyle uyguladığı para cezasının kapsamının daraltılmasına, miktarın 30 milyon Euro ile 50 milyon Euro arasında kalmasına sebep olmuştur.

İrlanda VKO’nun bu tespitlerine karşı da Federal Alman VKO, Fransa VKO, Portekiz VKO, Macaristan VKO, Hollanda VKO ve İtalya VKO tarafından çeşitli itirazlar ileri sürülmüş olup tüm itirazlar yine EDPB tarafından detaylı şekilde incelemeye alınmış ve itirazların neredeyse tamamı haklı ve yerinde bulunmuştur.

EDPB, WhatsApp İrlanda tarafından uygulanan Lossy Hashing usulünün, GVKT’nin kapsamı dışına çıkmak için kişisel verilerin anonim hale getirilmesini sağlayıp sağlamadığı hususunun araştırılması gerektiğini belirtmektedir. Bu bağlamda, WhatsApp İrlanda tarafından halihazırda Lossy Hashing usulünün uygulandığı bir telefon numarası bir listede (“kullanıcı olmayanlar listesi”) saklanmakta, İletişim Özellikleri aracılığıyla numaraları yükleyen kullanıcıların telefon numaraları bir “Lossy hash” (Kayıplı Özet Değerler) ile eşleştirilmektedir.

Bu süreç, WhatsApp İrlanda tarafından, mevcut kullanıcıları seçmek için “bildirim” adı verilen bir liste kullanıldığı, hizmete yeni bir kullanıcı katıldığında “Notification Hash” (Bildirim Özetleme) gönderildiği şeklinde açıklanmaktadır. Bu seçim, yeni kullanıcının telefon numarasına uygulanan Lossy Hashing usulü ile yapılmakta olup sonrasında “bildirim” bir Lossy hash tarafından temsil edilen numaralardan herhangi birini yükleyen tüm kullanıcılara gönderilmektedir. WhatsApp İrlanda’nın kullanıcı cihazındaki uygulaması bir “bildirim” aldığında, yeni kullanıcının adres defterindeki kişilerin bir parçası olup olmadığını karşılaştırmak için adres defterindeki kullanıcıların eşdeğer bir “bildirim”ini oluştup senkronizasyonu başlatmaktadır.

EDPB, kullanıcı olmayanların yukarıda açıklandığı şekilde çıkarım yoluyla tanımlanabilir olma riskini, GVKT madde 4(1) kapsamında değerlendirmektedir. Her ne kadar WhatsApp İrlanda tarafından öncesinde telefon numaraları bilinmeyen kullanıcıların ayrıştırılmak istenmediği belirtilmiş ise de EDPB, eldeki veri kümesinin kişisel veri olarak kabul edilip edilmeyeceği değerlendirilirken niyetin veya veri sorumlusunun ya da üçüncü tarafın motivasyonunun dikkate alınması gereken faktörler olmadığına işaret etmiştir. EDPB, GVKT’nin uygulanması, başka bir ifadeyle, verilerin “kişisel” olarak kabul edilmesi konusunda, verilerin doğrudan veya dolaylı olarak tanımlanabilecek bir kişiyle ilgili olup olmadığı, veri sorumlusu veya üçüncü bir kişinin, ilgili kişiyi belirli bir durumda belirleyebilme konusunda teknik yeterliliğe sahip olup olmadığı hususlarının incelenmesi gerektiği konusunda İrlanda VKO ile hemfikirdir.

İlave olarak, WhatsApp İrlanda’nın İletişim Özelliği’ni etkinleştiren kullanıcının irtibatlı olduğu tüm telefon numaralarını işlediği göz önünde bulundurulduğunda; EDPB, bir kullanıcının en az bir kullanıcı olmayan kişinin telefon numarasına sahip olacağını belirtmektedir. Bu durumda, WhatsApp İrlanda tarafından uygulanan Lossy Hashing usulünün sonucunun açık bir şekilde kullanıcı olmayan bir birey veya kullanıcı olmayan bir gruba ait telefon numarası/numaraları ile ilgili olarak çıkarım yapılmasına izin verdiğini ifade etmektedir.

Sonuç olarak, her bir Lossy hash’i birbirine bağlayan bu hizmet ve hizmetin kullanıcılarının adres defterlerinde en az bir iletişim kişisine sahip olduğu düşünüldüğünde, bu usulün çok büyük bir ağ yarattığı ve kullanıcı olmayan ilgili kişilerin yeniden tanımlanması riskini artırabileceği belirtilmektedir. Bu analizler ışığında, EDPB, Lossy hash listesinin kullanıcıların telefon numaraları ile birlikte kişisel veri niteliğinde olduğuna ve İrlanda VKO’nun kararını bu doğrultuda revize etmesi gerektiğine karar vermiştir.

7. İLGİLİ VERİ KORUMA OTORİTELERİ TARAFINDAN TESPİT EDİLEN DİĞER MUHTEMEL/ALTERNATİF GVKT İHLALLERİ

7.1. Soruşturma’nın kapsamı ile ilgili itirazlar

İrlanda VKO, Soruşturma’nın WhatsApp İrlanda’nın GVKT madde 12, 13 ve 14 uyarınca şeffaflık yükümlülüğü ile ilgili olduğunu belirtmiş ise de Federal Alman VKO ve Macaristan VKO tarafından Soruşturma’nın kapsamı ile ilgili itirazlar ileri sürülmüştür. Anılan VKO’ların itirazları, WhatsApp İrlanda’nın ilgili kişilere ilişkin aydınlatmasının yetersiz olduğu, kullanıcıların ve kullanıcı olmayanların hangi kişisel verilerinin Facebook ile paylaşıldığına, rıza temelli veri işleme süreçlerinde WhatsApp İrlanda’nın rıza alma yükümlülüğünü yerine getirip getirmediğine ilişkin yeterli incelemelerin yapılmadığı hususlarına dayanmaktadır.

İrlanda VKO tarafından bu itirazlar yerinde görülmediği gibi, EDPB de bu itirazların, “alakalı ve gerekçeli” olmadığını belirtmiştir. Nitekim EDPB, itirazın açık bir biçimde nitelendirilmesi ve GVKT madde 4(24) kapsamında gerekli görülen risklerin net bir şekilde ortaya konulması gerektiğini, ancak ilgili VKO’ların bu gereklilikleri yerine getiremediği kanaatinde olduğunu belirtmiştir.

7.2. GVKT madde 5(1)(a) / 5(2)’nin ihlali ile ilgili itirazlar

Taslak Karar, GVKT madde 5(1)(a)’da yer alan şeffaflık ilkesine ve GVKT madde 5(2)’de yer alan hesap verebilirlik ilkesine ilişkin referansları da içerdiği halde, Taslak Karar’da madde 5(1)(a) ile madde 5(2)’nin ihlal edilip edilmediği belirtilmemiştir. Bu sebeple, Macaristan VKO ve İtalya VKO tarafından İrlanda VKO’nun tespitlerine karşı itirazlar ileri sürülmüştür.

Her ne kadar EDPB tarafından Macaristan VKO’nun itirazlarının haklı endişelere dayandığı belirtilmiş ise de itirazlar, GVKT madde 4(24) kapsamında net bir biçimde ortaya konulmadığından dikkate alınmamıştır.

Diğer yandan, İtalya VKO’nun itirazları, “alakalı ve gerekçeli” bulunmuştur. EDPB’ye göre, WhatsApp İrlanda tarafından yürütülen tüm veri işleme faaliyetleri göz önünde bulundurulduğunda, GVKT madde 5(1)(a) kapsamında şeffaflık ilkesi ihlal edilmiştir. Bu sebeple, Avrupa VKO, GVKT madde 5(1)(a)’nın ihlal edildiği yönünde, İrlanda VKO’nun Taslak Karar’ı revize etmesi gerektiğine karar vermiştir.

7.3. GVKT madde 13(2)(e)’nin ihlali ile ilgili itirazlar

İrlanda VKO, GVKT’nin 13(2)(e) maddesinin ihlaline ilişkin herhangi bir sonuca ulaşmadığından, Taslak Karar’ında bu maddeye yer vermemiştir. Ancak Federal Alman VKO, Soruşturma kapsamında GVKT’nin bu maddesine ilişkin tespitlere yer verildiği halde, Taslak Karar’da bu madde ile ilgili herhangi bir değerlendirmeye yer verilmemesinin ve WhatsApp İrlanda’ya yalnızca hazırladığı Gizlilik Politikası kapsamında GVKT’nin 13(2)(e) maddesi uyarınca konumunu değerlendirmesinin tavsiye edilmesinin diğer veri sorumluları açısından olumsuz bir işaret olarak algılanabileceğini belirtmiş ve İrlanda VKO’nun bu tespitine itirazda bulunmuştur.

Söz konusu soruşturmada, bu konu özel olarak incelenmediğinden, Baş VKO olarak İrlanda VKO’nun bu konuda herhangi bir sonuca ulaşmasının, WhatsApp İrlanda’nın Avrupa Birliği ve İrlanda hukuku kapsamındaki usule ilişkin haklarını ihlal edeceği belirtilmiş ve İrlanda VKO tarafından Federal Alman VKO’nun itirazları dikkate alınmamıştır. EDPB ise, tavsiyede bulunmak yerine, GVKT madde 13(2)(e)’nin ihlal edildiğinin tespit edilmesi gerektiğine karar vermiştir.

7.4. Lossy Hashing usulü ile ilgili itirazlar

EDPB, GVKT’nin 6(1) maddesi uyarınca, kullanıcı olmayanlara yönelik veri işlemenin hukuka aykırılığı itirazı sebebiyle Taslak Karar’ın revize edilmesine gerek olmadığına karar vermiştir. Bununla birlikte EDPB, VKO’ların; yukarıda özetlendiği şekilde Lossy Hashing usulü uygulanan hallerde de kullanıcı olmayanların verilerinin işlendiğine ve GVKT madde’14’ün ihlal edildiğine ilişkin itirazlarına katıldığını belirtmiştir.

8. İRLANDA VKO TARAFINDAN VERİLEN TEDBİR KARARLARI HAKKINDA – ÖZELLİKLE VERİ İŞLEMENİN HUKUKA UYGUN HALE GETİRİLMESİ İÇİN VERİLEN KARAR

İrlanda VKO, GVKT madde 58(2)(d) uyarınca tesis etmiş olduğu Taslak Karar’da, WhatsApp İrlanda tarafından gerçekleştirilen veri işleme sürecinin GVKT’nin 12 ve 14. maddeleri ile uyumlu hale getirilmesi için WhatsApp İrlanda tarafından bazı aksiyonların alınması gerektiğine hükmetmiştir. İrlanda VKO tarafından WhatsApp İrlanda’ya her bir aksiyon için hükmün tesis edildiği tarihten itibaren altı aylık süre verilmiştir.

Macaristan VKO tarafından; ihlalin ağırlığı ve milyonlarca Avrupa Birliği vatandaşının yaşayabileceği olumsuz sonuçlar gözetildiğinde ilgili altı aylık sürenin daha kısa olması gerektiğine ilişkin itirazda bulunulmuş ve bu itiraz EDPB tarafından konuyla ilgili ve makul bulunarak incelenmiştir.

EDPB konuyla ilgili olarak (Denetim otoritelerinin görev ve yetkilerine dair) 129 numaralı resitali[4] hatırlatmış ve olayın özelliklerine göre İlgili VKO’ların uygun, gerekli ve ölçülü önlemleri almaya yetkili olduğunu belirtmiştir. Akabinde, Macaristan VKO tarafından belirtilen gerekçeleri haklı bulmuş ve İrlanda VKO tarafından ilgili sürenin kısaltılması gerektiğine karar vermiştir.

İrlanda VKO, veri işleme sürecine ilişkin politikalara, kullanıcı olmayan kişiler tarafından WhatsApp’ın web sitesinden mümkün olduğu kadar kolay bir şekilde erişilebilmesi gerektiğini belirtmiş ve bununla ilgili olarak aksiyon alınmasını istemiştir. Macaristan VKO, web sitesinde bu politikalara yer verilmiş olmasını uygun bulmasa da EDPB bu itirazı haksız bulmuştur.

9. İDARİ PARA CEZASI

9.1 Bir Önceki Yıla Ait Ciro Kavramı

İrlanda VKO, Taslak Karar’da, belirli ihlal türleri ile ilgili olarak verilebilecek herhangi bir para cezasının tavanını belirleyen GVKT madde 83(5)’i tartışmaktadır. Taslak Karar’da söz konusu idari para cezası için tavan teşkil eden miktar, ilgili veri sorumlusu veya veri işleyenden ziyade; bir bütün olarak Facebook Inc. ve WhatsApp İrlanda’nın 31 Aralık 2019 itibariyle dünya çapındaki cirosu referans alınarak hesaplanmıştır.

Federal Alman VKO, GVKT’nin 150 numaralı resitaline göre, Avrupa Birliği’nin İşleyişi Hakkındaki Antlaşma’nın (“ABİHK”) 101 ve 102. maddelerinde belirtilen “teşebbüs” (undertakings) kavramının konuyla ilgili olduğunu belirterek ve Tek Ekonomik Birim Doktrini’nin (“Single Economic Unit Doctrin”) uygulanması gerektiğini ifade ederek itirazda bulunmakta ve ilgili doktrin uyarınca, Whatsapp Inc. ve Facebook dışındaki diğer tüm şirketleri de kapsayan Facebook Grup Şirketleri’nin toplam cirosunun bir idari para cezasının etkili, orantılı ve caydırıcı olup olmadığını değerlendirmek için kilit nokta olduğunu belirtmektedir. Yine Federal Alman VKO’ya göre idari para cezası bakımından baz alınması gereken ciro 31 Aralık 2020’deki cirodur.

İrlanda VKO, Tek Ekonomik Birim Doktrini iddiasıyla ilgili olarak, idari para cezasını tüm Facebook, Inc. grup şirketlerini kapsayacak şekilde revize etmeyi düşündüğünü ifade etmiş ancak Federal Alman VKO’nun yukarıda belirtilen 31 Aralık 2020’de sona eren mali yılın baz alınması gerektiği iddiasını, Taslak Karar’ın 24 Aralık 2020’de tamamlandığı ve bu sebeple 31 Aralık 2020’de ortaya çıkacak olan cironun kararda baz alınamayacağı, GVKT madde 83(4) gereğince ilgili cironun söz konusu idari para cezasının tavan sınırını belirlemek bakımından önemli ancak idari para cezasının miktarını belirlemek bakımından etkisiz olduğu gerekçesiyle dikkate almamıştır.

Bu noktada EDPB, İrlanda VKO ve Federal Alman VKO arasında, yıllık cironun yalnızca idari para cezasının tavan sınırının belirlenmesi bakımından mı yoksa idari para cezasının belirlenmesi bakımından da mı önem arz ettiği konusunda uyuşmazlık bulunduğunu tespit etmiştir. Bu konuyla ilgili uyuşmazlık, bir sonraki başlıkta –GVKT madde 83(1) uyarınca idari para cezasının etkili, ölçülü ve caydırıcı olup olmadığının değerlendirilmesi akabinde- detaylı olarak çözümlenmiştir.

EDPB, GVKT’nin 150 numaralı resitaline uygun şekilde, Avrupa Birliği Adalet Divanı’nın (“ABAD”) rekabet hukukuyla ilgili olarak tesis ettiği kararların ve ABİHK’nin, GVKT’nin 83(4)-(6) arasındaki maddelerine göre tavan sınırın belirlenmesi açısından önemli olduğunu düşünmektedir. ABAD içtihatlarına göre; bir ana şirkete bağlı diğer bir şirket, bir ihlalden sorumlu bulunduğunda, grup şirketlerin toplam cirosu, söz konusu finansal kapasiteyi belirler. EDPB, buna uygun olarak İrlanda VKO tarafından verilen Taslak Karar’ın değiştirilmesi, Facebook Inc. olarak tek bir teşebbüs altında birleşen tüm şirketlerin toplam cirolarının dikkate alınması gerektiğine karar vermiştir.

Bir önceki yıldan ne anlaşılması gerektiğine ilişkin olarak, EDPB, İrlanda VKO’nun gerekçelerini kabul etmiş ve kararın verildiği tarihte bulunan en güncel cironun idari para cezasının tespitinde önem arz ettiğini belirtmiştir.

9.2 GVKT Madde 83(3)’ün Yorumlanması

İrlanda VKO’ya göre, WhatsApp İrlanda, aynı veri işleme faaliyeti bağlamında GVKT’nin 12, 13 ve 14. maddelerini eş zamanlı olarak ihlal etmiştir. GVKT madde 83(3)’e göre nihai para cezası miktarı, eş zamanlı ihlallerden en ağır ihlal için belirtilen miktarı aşamaz. İrlanda VKO, kullanıcı olmayanlar bağlamında veri işlenmesini GVKT’nin 14. maddesinin ihlali olarak tespit etmiş ve bunu üç ihlalden en ağırı olarak değerlendirmiştir. Bu nedenle, İrlanda VKO, GVKT’nin 14. maddesinin ihlali için belirtilen azami miktarı tavan olarak kabul etmiş ve yalnızca GVKT’nin 14. maddesinin ihlali için para cezası vermiştir.

Federal Alman VKO’ya göre İrlanda VKO’nun yaklaşımı yasa koyucunun niyetiyle bağdaşmamaktadır. Zira bu yaklaşım benimsendiği takdirde eş zamanlı olarak gerçekleşen diğer ihlaller göz ardı edilmekte ve yalnızca en ağır ihlal cezalandırılmaktadır. Fransa VKO da benzer şekilde itiraz etmekte ve birden fazla ihlalin gerçekleştiği durumlarda bu yaklaşımın yalnızca tek bir ihlali cezalandırdığını düşünmektedir. Portekiz VKO’ya göre; eğer birden fazla ihlal varsa, bunların her biri cezalandırılmalı ancak bu ihlallere uygulanan toplam para cezası, GVKT madde 83(3)’teki sınırı aşmamalıdır. Bu üç itirazın ortak noktası, bu şekilde verilecek bir cezanın ilerleyen dönemlerde ortaya çıkabilecek ihlaller bakımından caydırıcı olmama riskini taşıması ve bu yaklaşımın ihlalin ağırlığı dikkate alındığında GVKT ile uyuşmamasıdır.

Bu iddialarla ilgili olarak İrlanda VKO, EDPB düzeyinde GVKT madde 83(3)’ün yorumlanması ve uygulanmasına ilişkin olarak bir uzlaşı olmadığını, ilgili hükmün birden fazla ihlalin gerçekleştiği her olayda değil; yalnızca aynı veri işleme süreciyle bağlantılı olarak gerçekleşen ihlallerde uygulanacağını savunmuştur. İrlanda VKO’ya göre kendisi tarafından benimsenen yaklaşım; ilgili veri koruma otoritesinin, cezanın etkili, ölçülü ve caydırıcı olmadığı durumlarda cezanın miktarını artırma ya da azaltma yetkisine de halel getirmemektedir.

EDPB, bu noktada yapılan itirazlarla ilgili olarak, idari para cezalarının etkili, ölçülü ve caydırıcı olması gerekliliğine büyük önem atfetmekte ve İlgili VKO’lar tarafından yapılan itirazları haklı bulmaktadır. Sonuç olarak, EDPB, GVKT madde 83(3)’ü, birden fazla ihlalin her biri için idari para cezası verilmesi ancak toplam para cezasının en ağır ihlal için konulan tavan sınırı aşmaması gerektiği şeklinde yorumlamakta ve İrlanda VKO’ya Taslak Karar’ı bu çerçevede tadil etmesini önermektedir.

9.3 GVKT Madde 83(1) ve 83(2)’deki Kriterlerin Uygulanması

Mevcut ihlaller için idari para cezası uygulanıp uygulanmayacağının ve uygulanacaksa cezanın miktarının belirlenmesi bakımından İrlanda VKO, GVKT madde 83(3) gereği şu faktörler uyarınca bir değerlendirme yapmıştır: İhlalin türü, ağırlığı ve süresi, ihlalden etkilenen ilgili kişi sayısı ve ilgili kişilerin gördüğü zarar, ihlalin ihmali ya da kasti oluşu, veri sorumlusu ya da veri işleyenin sorumluluk derecesi ve ihlali azaltan veya artıran diğer faktörler. Bu faktörler ve yaptırımın etkili, ölçülü ve caydırıcı olması gerekliği dikkate alınarak, İrlanda VKO tarafından Taslak Karar’da WhatsApp İrlanda’ya 30 ila 50 milyon Euro arasında bir para cezası verilmesi önerilmiştir.

İlgili VKO‘lar, ihlalden etkilenen kişi sayısı (kullanıcı olan 326 milyon ve kullanıcı olmayan 125 milyon kişi) dikkate alındığında, önerilen idari para cezasını etkili ve caydırıcı bulmamaktadırlar. Macaristan VKO, idari para cezalarına ilişkin yönergelerde belirtilen “bilme” ve “isteme” kriterleri göz önüne alındığında WhatsApp İrlanda’nın mevcut ihlaller bakımından kastı bulunduğunu iddia etmektedir. İlaveten, İtalya VKO, WhatsApp İrlanda’nın yeni gizlilik politikaları uygulamayı ertelemesini sorumluluğu artıran bir durum olarak görmekte ve bu nedenle uygulanan idari para cezasının miktarının artırılması gerektiğini belirtmektedir.

EDPB’ye göre, GVKT’nin ihlal edilmesi halinde uygulanacak bir yaptırım, GVKT madde 83(1)’in gerektirdiği şekilde somut olayın özellikleri dikkate alınarak belirlenmeli; etkili, ölçülü ve caydırıcı olmalı ve GVKT madde 83(2)’de belirtilen kriterleri karşılamalıdır.

WhatsApp İrlanda’nın kastını ya da ihmalini tartışırken, İrlanda VKO, GVKT’nin 148 numaralı resitaline ve “İdari Para Cezalarına İlişkin Yönerge”ye atıf yapmaktadır. Buna göre, ihlalin kasten mi yoksa ihmalen mi gerçekleştiği değerlendirilirken olay özelinde objektif kriterler (bilme ve isteme) baz alınmalıdır. İrlanda VKO’ya göre söz konusu ihlalde WhatsApp İrlanda’nın yüksek derecede ihmali vardır. Zira GVKT’nin 12. ve 13. maddelerinin ihlaliyle ilgili olarak WhatsApp İrlanda tarafından belli aksiyonların alınması söz konusudur ancak bunlar yapılması gerekenlere nazaran çok yetersizdir. 14. maddenin ihlali ile ilgili olarak da WhatsApp İrlanda, 2012 yılında geçirdiği soruşturma neticesinde kullanıcı olmayan kişilerle ilgili ihlal teşkil edebilecek durumların farkındadır. EDPB’ye göre, yukarıda belirtilen şekilde objektif şartların sağlanabilmesi için kasti hareket edildiğinin ispat edilmesi gerekir; ancak, olayda GVKT’nin ihlaline yönelik kasten hareket edildiğine dair bir veri yoktur. EDPB, İtalyan VKO’nun itirazlarının ise İrlanda VKO tarafından “ağırlaştırıcı faktör” olarak dikkate alındığını düşünmektedir. Dolayısıyla, GVKT madde 83(2)’nin uygulanması bakımından İrlanda VKO’nun Taslak Karar’da değiştirmesi gereken bir hüküm bulunmamaktadır.

GVKT madde 83(1)’in yorumlanması bakımından kritik olan nokta, yukarıda belirtildiği üzere, İrlanda VKO ve Federal Alman VKO arasında uyuşmazlığa sebep olan, yıllık cironun yalnızca idari para cezasının tavan sınırının belirlenmesi bakımından mı yoksa aynı zamanda idari para cezasının miktarının belirlenmesi bakımından mı önemli olduğu hususudur.

EDPB, yukarıda belirtilen gerekçelerine ek olarak, yaptırımın etkililiği noktasında veri sorumlusunun ya da veri işleyenin durumunun ve olay özelinde finansal gücünün dikkate alınması gerektiğini vurgulamaktadır. EDPB’ye göre, İrlanda VKO tarafından ihlale karar verilmiş, ağırlaştırıcı faktörler doğru bir şekilde tespit edilmiştir; ancak, WhatsApp İrlanda’nın dünya çapındaki yıllık cirosu dikkate alındığında verilen para cezası, ihlalin ağırlığını ve büyüklüğünü yansıtmadığı gibi, WhatsApp İrlanda üzerinde de caydırıcı bir etkiye de sahip değildir. Bu nedenle, İrlanda VKO’nun önermiş olduğu idari para cezası aşağıdaki koşullar dikkate alınarak yeniden değerlendirilmeli ve daha yüksek bir cezaya hükmedilmelidir:

–     Dikkate alınması gereken ciro, grup şirketin bünyesinde bulunan tüm şirketlerin dünya çapındaki yıllık cirosudur.

–       GVKT madde 65(6) gereği ilgili veri koruma otoritesi tarafından, nihai kararın verileceği yıldan önceki yılın cirosu baz alınmalıdır.

–        İlgili ciro, idari para cezasının azami miktarını belirlemek ve uygun düştüğü ölçüde etkili, ölçülü ve caydırıcı bir ceza vermek için dikkate alınmalıdır.

–       İdari para cezası, ölçülülük kriterini karşılamak bakımından Taslak Karar’da verilen ağırlaştırıcı faktörleri de yansıtmalıdır.

–       İlgili VKO‘lar tarafından belirtildiği üzere, GVKT madde 5(1)(a), 13(1)(d) ve 13(2)(e)’nin ihlalleri ile’14’ün genişletilmiş kapsamı da toplam para cezasında belirtilmelidir.

–       Taslak Karar’da ve Avrupa VKO’nun bağlayıcı kararında belirtilen tüm ihlaller, Avrupa VKO’nun yukarıda belirtilen GVKT madde 83(3) yorumuna uygun olarak idari para cezasının belirlenmesinde dikkate alınmalıdır.

Özetle, Avrupa VKO, bağlayıcı kararında; İrlanda VKO’nun;

(i)      GVKT madde 13(1)(d) kapsamında bir ihlal tespit etmesi gerektiğini,

(ii)     Lossy Hashing listesinin kullanıcıların telefon numaraları ile eşleştirildiğinde kişisel veri niteliğini haiz olduğunu ve Taslak Karar’ın bu doğrultuda tadil etmesi gerektiğini,

(iii)     GVKT madde 5(2) kapsamında Taslak Karar’ın tadil etmesine gerek olmadığını, ancak madde 5(1)(a) kapsamında şeffaflık ilkesinin ve madde 13(2)(e)’nin ihlal edilmesi sebebiyle Taslak Karar’ın tadil edilmesi gerektiğini,

(iv)     Kullanıcı olmayan kişilerin verilerinin işlenmesine yönelik olarak GVKT madde 14’ün ihlali sebebiyle Taslak Karar’ın tadil edilmesi gerektiğini,

(v)     GVKT’nin hükümlerine uyum için WhatsApp İrlanda’ya verilen sürenin üç ay olarak tadil edilmesi gerektiğini,

(vi)    İrlanda VKO’nun WhatsApp İrlanda’nın grup şirketinin bünyesinde bulunan tüm şirketlerin dünya çapındaki yıllık cirosu ile nihai kararın verileceği yıldan önceki yılın cirosunu dikkate alması gerektiğini,

(vii)      En ağır ihlale ilave olarak diğer ihlallerin de dikkate alınması gerektiğini ve,

(viii)     Son olarak, sınıflandırılan bu ihlaller sebebiyle İrlanda VKO’nun daha yüksek bir ceza miktarı belirlemesi gerektiğini,

İfade etmiştir.

***

Bu yazıda yer alan yazı ve sair içeriklerin, bireysel kullanım dışında ticari amaçlarla izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Kanun uyarınca yasal işlem yapılacaktır. Yazının tüm hakları saklıdır.