Avrupa Veri Koruma Kurulu

Madde 60 Nihai Karar Özeti*

Şikâyet

Uyum Emri

EDPBI: FR: OSS: D:2022:330

ÇEVİREN: Ercüment ARI

Arka plana dair bilgiler

Kararın Özeti

Davanın kaynağı

Veri sorumlusu, mesafeli satış faaliyetinde bulunmaktadır ve Fransa’da kayıtlıdır. 12 Ekim ve 16 Kasım 2020’de LSA (Leading Supervision Authority) heyeti, veri sorumlusuna soru listeleri göndererek bir belge denetimi gerçekleştirdi. Soru listeleri, veri sorumlusunun web sitesinin Fransızca versiyonunun ziyaretçilerine ait kişisel verilerin Amerika Birleşik Devletleri’ne aktarılmasıyla ilgiliydi. LSA’nın sorularına yanıt olarak veri sorumlusu, Google Analytics işlevini web sitesine entegre etmeye karar verdiğini bildirdi. Veri sorumlusu, Google Analytics aracılığıyla elde edilen istatistiklerin, Avrupa Birliği’ne üye çeşitli ülkelerdeki ilgili kişilere ilişkin olduğunu belirtti. Veri sorumlusu, Google Analytics’in entegrasyonundan kaynaklanan işleme faaliyetinin, GDPR (General Data Protection Regulation) madde 4/23-b’de belirtilen şekilde sınır ötesi işleme tanımına uyduğu görüşündeydi. 9 Mart 2021’de LSA, Google LLC’ye, Google Analytics özelliğini kapsayan bir soru listesi gönderdi. Google LLC’nin 9 Nisan 2021’de bu soru listesini yanıtladı ve veri sorumlusunun web sitesinde Google Analytics işlevi aracılığıyla toplanan verilerin Amerika Birleşik Devletleri’nde depolandığını ve dolayısıyla Amerika Birleşik Devletleri’ne aktarıldığını belirtti. 5 Ağustos 2021 tarihinde LSA, GDPR’nin 56. maddesi gereğince tüm Avrupa denetleyici makamlarını, baş denetim makamı olarak hareket etme yetkisi hakkında bilgilendirdi. GDPR’nin 60. maddesine dayalı iş birliği prosedürü kapsamında, 4 Ocak 2022 tarihinde bir karar taslağı sunuldu. Taslak karara karşı, ilgili ve gerekçeli herhangi bir itiraz ileri sürülmedi.

Tespitler

İlk olarak, LSA; web sitesini yöneten şirketin, hedef kitle ve medya kampanyalarının performansını ölçmek amacıyla web sitesinde Google Analytics özelliğini uygulanmaya karar vermesiyle Google Analytics kullanımı suretiyle kişisel verileri toplamanın ve işlemenin araç ve amaçlarını belirlediği sonucuna varmıştır. Bu nedenle şirket, GDPR’nin 5/7. maddesi kapsamında veri sorumlusu olarak kabul edilmelidir. İkinci olarak, LSA, Google Analytics özelliği kapsamında toplanan ve Amerika Birleşik Devletleri’ne aktarılan verilerin, GDPR’nin 4. maddesi anlamında kişisel veri teşkil ettiğine karar vermiştir. GDPR’nin 30. resitaline atıfta bulunan LSA, IP adresleri veya çerezlerde saklanan bilgiler gibi çevrimiçi tanımlayıcıların, özellikle diğer benzer bilgi türleri ile birleştirildiğinde bir kullanıcıyı tanımlamak için yaygın olarak kullanılabileceğini belirtmiştir. İncelenen dosyada veri sorumlusu, Google Analytics özelliği kapsamında, bir ziyaretçinin tanımlayıcısını (her bir kullanıcı için benzersiz Google Analytics müşteri kimliği), veri sorumlusunun dahili tanımlayıcısını (ziyaretçinin bir kullanıcı hesabı aracılığıyla web sitesine giriş yapması durumunda), (varsa) sipariş tanımlayıcılarını ve IP adreslerini işleyebilecektir. GDPR’nin 26. resitalinde belirtildiği gibi, bir bireyin diğer kişiler arasından ayırt edilebilmesi, bireysel web sitesi ziyaretçilerinin tanımlanabilir hale gelmesi için yeterlidir. Son olarak, kişisel verilerin Avrupa Birliği dışına aktarılmasını düzenleme yükümlülüğünün ihlal edilip edilmediği sorusuna dair LSA, aşağıdaki tespitlerini sunmuştur. GDPR’nin 44. maddesine göre, kişisel verilerin üçüncü bir ülkeye aktarımı, veri sorumlusu ve veri işleyen tarafından yalnızca GDPR’nin V. Bölümünde belirtilen koşullara uyulması halinde gerçekleşecektir. LSA hali hazırda GDPR’nin 45. maddesinde atıfta bulunulan, aktarım taraflarının kişisel verileri ABD’ye aktarırken dayanabilecekleri bir yeterlilik kararı bulunmadığına dikkat çekmiştir. Ayrıca, CJEU’nun (Court of Justice of the European Union) C-311/18 sayılı davasındaki kararına göre standart sözleşme hükümleri, sözleşmesel nitelikte olduklarından kişisel verilerin ABD’ye aktarılması için tek başına uygun güvenceleri sağlamaz ve bu nedenle de ABD makamlarının aktarılan verilere erişmesini engellemez. LSA; Google LLC tarafından uygulanan standart veri koruma hükümlerine ek olan sözleşmesel, idari ve teknik tedbirlerle ilgili olarak da, kullanıcıların bilgilendirilmesi, bir şeffaflık raporunun yayınlanması, Google hizmetleri arasındaki iletişimlerin korunması ve veri merkezlerindeki hareketsiz verilerin şifrelenmesi gibi önlemlerin hiçbirinin, ABD makamlarının veriye erişme olasılığını engellemediğini veya azaltmadığını tespit etmiştir. Dolayısıyla eldeki davada güvenceler etkin [bir güvence olarak] kabul edilememiştir. Ayrıca, ilgili kişiler GDPR’nin 49/1-a maddesi kapsamında aktarıma açık rıza göstermediğinden, GDPR’nin 49. maddesinde belirtilen istisnalar da uygulanamaz. Kaldı ki veri sorumlusu, veri aktarımını Madde 49/1-b’ye dayandırdığı iddiasını destekleyecek kanıt da sunmamıştır. Yukarıda belirtilenlere dayanarak, LSA; veri sorumlusunun, ziyaretçilerin kişisel verilerinin web sitesine aktarılmasını gerekçelendirmek adına GDPR’nin V. Bölümünde belirtilen araçlardan herhangi birini kullanamayacağı sonucuna varmıştır. Böylece veri sorumlusu, GDPR’nin 44. maddesinde güvence altına alınan ilgili kişilerin kişisel verilerinin korunma düzeyini azaltmıştır.

Karar

LSA’nın kararının bildirilmesinden sonraki bir ay içinde; veri sorumlusunun Google Analytics işlevi kapsamındaki işleme faaliyetlerini durdurarak veri işleme faaliyetini GDPR’nin 44. maddesi’ne uygun hale getirmesi ve LSA’ya yukarıda belirtilen süre içinde belirtilen talebi yerine getirdiğini teyit eden destekleyici belgeler sağlamasına karar verilmiştir.

*Kaynak: https://edpb.europa.eu/system/files/2022-08/summary_public.pdf