Anahtar kelimeler: Facebook, Kişisel Veriler, Fan Sayfa Yöneticileri, Facebook Temsilciliklerinin Muhataplığı
ABAD Karına Konu Olay:
Alman İktisat Akademisi Schleswig-Holstein, eğitim alanında
faaliyet gösteren bir limited şirkettir (GmbH). Akademi, Facebook’ta www.facebook.com/wirtschaftsakademie
başlığı altında bir fan sayfası üzerinden de eğitim hizmetleri sunmaktadır.
Bu akademi gibi fan sayfalarının yöneticileri, Facebook’un fan
sayfası yöneticilerine sunduğu ‘Facebook Insights’ fonksiyonu üzerinden, sayfayı
ziyaret eden birçok kişinin verilerini ücretsiz ve anonim olarak elde
etmektedir. Bu fonksiyon sayesinde ziyaretçilerin kullanıcı kodları ve çerezler
(cookies) Facebook tarafından toplanıp fan sayfası yöneticileriyle
paylaşılmaktadır. Ayrıca Facebook, kullanıcıların kayıt bilgileri ile kodlarını
iki yıl boyunca hard-disk’te saklamaktadır.
3 Kasım 2011 tarihinde, 95/46 sayılı Yönerge doğrultusunda
Alman kanunlarındaki uyumlaştırma sonucunda Eyalet yetkili denetim otoritesi
olan Schleswig-Holstein Eyaleti Bağımsız Veri Koruma Merkezi, Akademiye söz
konusu fan sayfasının kapatılması talimatını vermiştir. Eyalet Bağımsız Veri Koruma
Merkezine göre, veriler ziyaretçilerden toplanmış olmakla birlikte Facebook ve
Akademi, fan sayfasının kullanıcılarını bu hususta bilgilendirmemiştir. Oysa
Facebook, bu ziyaretçilerin cookies yardımı ile ilgili kişisel verilerini
alıyor ve daha sonraları da bu verileri işlemektedir.
Akademi, talimat karına karşı Alman İdare Mahkemesinde iptal
davası açmıştır. Akademi savunmasında, verilerin toplanmasında Facebook’un
sorumlu olduğunu ve kendilerine herhangi bir sorumluluk isnat edilemeyeceğini
belirtmiştir. Bundan dolayı da muhatabın doğrudan Facebook olduğu ve Facebook’a
karşı hukuki süreçlerin başlatılması gerektiğini belirtilmiştir. Bunun üzerine Mahkeme,
AB Adalet Divanından (ABAD) veri korunmasına ilişkin olan 95/46 sayılı Yönerge
hükümlerinin yorumlamasını istemiştir.
KARAR ŞERHİ (Hamdi
PINAR):
Dosyayı inceleyen ABAD, üç açıdan çok önemli bir içtihat ortaya
koymuştur.
1)
Facebook
ve fan sayfası yöneticileri kişisel verilerin korunmasında birlikte sorumlu:
Adalet Divanı’na göre Amerikan şirketi olan Facebook ve AB söz konusu olduğunda
İrlanda’da yerleşik bağlı şirketi olan Facebook İrlanda kontrol birimi (controller) olarak kişisel
verilerin saklanmasında sorumludur. Ayrıca Akademi gibi fan sayfası
yöneticileri de kişisel verilerin işlenmesinden Facebook ile birlikte sorumludur.
2) Otoritelerin
muhatabı kendi ülkelerindeki Facebook temsilcilikleri: AB içinde hizmetin
serbest dolaşımı olmasına rağmen ilk kez bu kararla muhatabın Facebook Almanya
olduğu kabul edilmiştir. ABAD’a göre üye ülkelerdeki kişisel verilerin
korunmasına ilişkin bağımsız otoritelerin muhatabı, Facebook’un üye ülkelerdeki
temsilcilikleridir. Bir diğer ifade ile
bu otoriteler yetkilerini kullanırken, İrlanda’da yerleşik Facebook firmasını
değil doğrudan kendi ülkelerinde bulunan Facebook temsilciliklerini muhatap
alarak hukuki yetkilerini kullanacaklardır. Dolayısıyla Almanya için de muhatap,
firmanın temsilcilik statüsündeki Facebook Almanya’dır. Facebook’un İrlanda’ki
yerleşik bağlı şirketinin tüm AB bölgesi için kişisel verilerin elde edilmesi
ve bunların işlenmesi hususunda tek yetkili olmasına rağmen ve Facebook’un Almanya ve diğer üye devletlerde
bulunan temsilciliklerinin yetkisinin sadece reklam yerlerinin satışı ve
pazarlama faaliyeti olarak sınırlandırılmış olsa bile üye devletlerin
otoriteleri bu temsilcilikleri muhatap olarak almaya yetkilidirler.
3)
Üye
devletlerin otoriteleri tek yetkili: AB üyesi devletlerce yetkilendirilmiş
otoriteler, başka bir üye devlette yerleşik olan üçüncü kişiler (Facebook)
tarafından kişisel verilerinin korunmasına ilişkin ihlâl gerçekleştirildiğinde,
bu üye devletteki yetkili otoriteden bağımsız olarak ve bu otoriteye bilgi
verme yükümlülüğü de olmaksızın, karar vermeye yetkilidir.
Hiç yorum yok:
Yorum Gönder