Sosyal Medyada Bilinçli ve Gönüllü Yayınlanan Kişisel Verilere İlişkin Manevi Tazminat Talebinin Reddine İlişkin Karar

Kuzey Ren-Vestfalya Mahkemesi

Hazırlayan: Zeynep Öğretmen Kotil

Konu

Bir sosyal medya platformunda bilinçli ve gönüllü olarak paylaşılan kişisel verilerin üçüncü kişiler tarafından işlenmesi halinde, veri sorumlusundan manevi tazminat talep edilemeyeceğine ilişkin karar

Olay

Facebook isimli sosyal medya platformunu kullanan ve bilgisayar bilimci olan ilgili kişi; isim, soy isim, cinsiyet dahil olmak üzere birtakım kişisel verilerini, ilgili sosyal medya platformundan hizmet alabilmek için zorunlu olarak paylaşmıştır. Sistem tarafından oluşturulan “Facebook Kimliği” de dahil olmak üzere ilgili kişisel veriler, varsayılan olarak herkes tarafından görüntülenebilmektedir. İlgili kişi, bahsi geçen kişisel verilere ek olarak kendi isteği ile cep telefonu numarasını da profil bilgilerine eklemiştir. Bu veri, kullanıcının profilinde varsayılan olarak görüntülenebilmektedir ancak ilgili kişi olan kullanıcının, bu verinin diğer kullanıcılar tarafından görüntülenip görüntülenemeyeceğini platform ayarlarından değiştirebilmesi mümkündür. İlgili kişi, profilinin ve profilinde yer alan kişisel verilerin görüntülenebileceği kullanıcı grubunu “hedef grup araması” olarak sınırlandırmış; ancak cep telefonu numarası verisinin ilgili platform kullanıcıları tarafından aranabilmesi (searchability) seçeneğini açık bırakmıştır.

2019 yılında ilgili sosyal medya platformundan kazıma (scraping) yöntemi ile veri elde eden üçüncü taraflar, bahsi geçen verileri 2021 yılında yayınlamaya başlamıştır. İlgili kişi, bu olayın ardından birçok isimsiz arama ve spam elektronik posta almıştır. Bu durumun, psikolojisini olumsuz etkilediğini iddia eden ilgili kişi, Avrupa Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation) (“GVKT”) tazminat hakkı ve sorumluluğu düzenleyen 82. maddesi uyarınca 500 Euro bedelinde manevi tazminat talep etmiştir.

İlgili başvuru karşısında veri sorumlusu, meydana gelen kazıma işleminin bilgisayar korsanlığı (hacking) kapsamında kabul edilemeyeceğini, dolayısıyla GVKT kapsamında veri sorumlusu için öngörülen güvenliği tesis etme yükümlülüğünün ihlal edilmediğini ifade etmiştir. Veri sorumlusu ayrıca, ilgili kişinin cep telefonu numarasını bilinçli ve gönüllü olarak paylaştığını, bunun bir zorunluluk olmadığını, paylaşım kararının ilgili kişinin özgür iradesine dayandığını belirtmiştir.

Gerekçe

Bielefeld Bölge Mahkemesi (“Landgericht Bielefeld”), ilgili kişinin cep telefonu numarasını paylaşmasının zorunlu olmadığına ve dilerse ilgili veriyi profilinde gizleme seçeneği bulunduğuna dikkat çekmiştir. Veri sorumlusunun, GVKT’nin 32. maddesi kapsamında öngörülen, işlediği kişisel verilerin güvenliğini sağlama yükümlülüğünü ihlal etmediğini; hali hazırda kamuya açık ve aleni olan kişisel verilerin üçüncü taraflarca işlenmesini önlemek için koruyucu önlemler almanın veri sorumlusunun sorumluluğu kapsamında olmadığını belirtmiştir.

GVKT’nin 24. ve 25(2). maddelerinde değinilen “varsayılanlarda gizlilik” (“privacy by default”) ilkesinin veri sorumlusu tarafından ihlal edilmediğine kanaat getiren mahkeme, bir sosyal medya platformuna kaydolmayı tercih eden ilgili kişinin paylaşmak zorunda kaldığı verilerin işlenmesinin ilgili hizmeti tesis etmek için zorunlu olacağının tartışmasız olduğunu belirtmiştir. İlgili kişinin zorunlu veriler dışında cep telefonu numarası verisini paylaşması ise kendisinin takdirindedir. Bu verinin görünürlük ayarı, sosyal medya platformunun varsayılan ayarları kapsamında “herkes” olarak ayarlanmıştır. Kullanıcıların teknik olarak deneyimsiz olması ihtimalinde dahi paylaşım seçenekleri ve diğer profil ayarları hakkında yeterince bilgilendirildiği belirtilmiştir. Kaldı ki Facebook gibi bir sosyal medya platformunun kullanıcılarının, internet geleneklerinin (Internet customs) farkında ve ayırdında olması beklenmektedir. Somut olayda ilgili kişinin bir bilgisayar bilimci olduğu göz önüne alındığında, bu geleneklerden haberdar olmamasını beklemek gerçekçi değildir.

Veri sorumlusu, kazımayı daha zor hale getirmek için yeterli teknik önlemleri almıştır. İlgili kişinin aksi yöndeki iddiaları yersizdir. Nitekim ilgili kişinin GVKT’nin 25. maddesinin ihlal edildiğine ilişkin iddia ve açıklamalarının yetersiz olduğu, mevcut durumda böyle bir ihlalin söz konusu olmadığı ifade edilmiştir.

Karar

Bielefeld Bölge Mahkemesi, 10 Mart 2023 tarihli ve “19 O 147/22” sayılı kararı ile ilgili kişinin tazminat talebini reddetmiş ve veri sorumlusunun sorumluluk ihlalinin bulunmadığına kanaat getirmiştir.

Veri sorumlusunun sosyal medya platformunda, profilde görüntüleme seçeneklerinin varsayılanlarda “genel” olarak ayarlanmasına, ilgili verinin diğer kullanıcılar ile paylaşılmaması için kullanıcıların aktif davranışı neticesinde ilgili ayarı “gizli” olarak değiştirmek zorunda olmalarına rağmen, varsayılanlarda gizlilik ilkesinin ihlal edilmediğine karar verilmiştir.

***

Karar metni için bkz.

https://www.justiz.nrw.de/nrwe/lgs/bielefeld/lg_bielefeld/j2023/19_O_147_22_Urteil_20230310.html