İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza

Kasım 2021 Defne Pırıldar
% 0

Giriş

İrlanda Veri Koruma Otoritesi (“İrlanda Veri Otoritesi”), WhatsApp İrlanda (WhatsApp Ireland Ltd) hakkında Avrupa Genel Veri Koruma Tüzüğü (“Tüzük”) kapsamındaki şeffaflık yükümlülüklerini ihlal edip etmediğini tespit etmek yürüttüğü soruşturmayı (“Soruşturma”) sonlandırdı ve nihai kararını (“Nihai Karar”) 2 Eylül 2021 tarihinde duyurdu.[1] Soruşturma konusu veri işleme faaliyetleri birçok AB üyesi devleti ilgilendirdiğinden; İrlanda Veri Otoritesi incelemeyi Baş Denetim Otoritesi olarak yürüttü ve Avrupa Veri Koruma Kurulu’nun (“Kurul”) uyuşmazlık çözümü kararı ile getirdiği (“Kurul Kararı”) bağlayıcı değerlendirmeleri de göz önünde bulundurdu. Nihai Kararı takiben, Kurul da uyuşmazlık çözümü kararını (“Kuru Kararı”) bir basın açıklaması ile duyurdu. Basın açıklamasında, Kurul Kararı’ndaki önemli değişiklik önerilerini ve İrlanda Veri Otoritesi’nin tespitlerini derledi.[2]

Kurul’un bağlayıcı yorumlarını göz önünde bulunduran İrlanda Veri Otoritesi, taslak kararı ile belirlediği para cezasını yükselterek, WhatsApp İrlanda hakkında 225 milyon Avro para cezasına hükmetti. Tüzük kapsamında bugüne kadar verilen en yüksek ikinci idari para cezası olması nedeniyle hem İrlanda Veri Otoritesi’nin Nihai Kararı hem de Kurul Kararı önem arz eder. Bu Hukuk Postası Makalesi ile soruşturma detayları ve Kurul’un değerlendirmeleri ele alınır.

Arka Plan

İrlanda Veri Otoritesi, 10 Aralık 2018 tarihinde, WhatsApp İrlanda hakkında kapsamlı bir soruşturma başlattı ve Tüzük m. 12, 13 ve 14 kapsamında düzenlenen yükümlülüklere hem kullanıcı hem de kullanıcı olmayan ilgili kişiler nezdinde uyup uyulmadığını inceledi. Her ne kadar WhatsApp İrlanda tarafından sunulan hizmetler birçok ülkede kullanılsa da merkezi Dublin, İrlanda’da bulunan teşebbüs hakkında yürütülecek soruşturmada, İrlanda Veri Otoritesi süreci “Baş Yetkili Otorite” olarak yürüttü. Böylece Soruşturma’ya konu olan sınır ötesi veri işleme faaliyetleri, Tüzük’ün “İşbirliği ve uyum” başlığı altında düzenlenen tek yetkili mercii olarak da ifade edilebilecek “one-stop-shop” mekanizmasını gündeme getirmiş oldu.

İlk olarak İrlanda Veri Otoritesi, baş yetkili otoriteler ile diğer ilgili veri koruma otoriteleri (Concerned Supervisory Authorities (“İlgili Otoriteler”)) arasındaki iş birliğini tesis eden Tüzük m. 60’ı gözeterek, taslak kararını İlgili Otoritelere 24 Aralık 2020’de sundu. İlgili Otoriteler, Tüzük m. 60(4) uyarınca birçok itiraz ya da yorumda bulundu. İtiraz ve yorumları değerlendiren İrlanda Veri Otoritesi, anonimleştirme sürecine ilişkin itirazlara karşı beyanlarını sunmak üzere WhatsApp İrlanda’ya davette bulundu. İtiraz ve yorumları takiben değiştirilen taslak karar ise, İlgili Otoritelere tekrar iletildi. Bu değişiklik önerilerine ilişkin İlgili Otoritelerce sunulan görüşleri inceleyen İrlanda Veri Otoritesi, görüş birliğinin sağlanamayacağına kanaat getirdi. Bu doğrultuda, 23 Nisan 2020 tarihinde dinlenilme hakkını kullanmak üzere WhatsApp İrlanda’ya davette bulundu ve veri otoriteleri arasındaki uyuşmazlığın Kurul nezdinde görülmesini teklif etti. Sonuç olarak, 3 Haziran 2021 tarihinde İrlanda Veri Otoritesi uyuşmazlık çözüm sürecini Kurul nezdinde başlattı.[3]

Kurul ise, uyuşmazlığa ilişkin bağlayıcı kararını Tüzük m. 65(1)(a) uyarınca, 28 Temmuz 2021 tarihinde verdi. Anılan madde, ilgili otoritelerin soruşturmayı yürüten baş yetkili otoritenin taslak kararına ilgili ve gerekçeli itirazda bulunma ve baş yetkili otoritenin ise itiraza katılmaması veya reddetmesi durumunda, Kurul’a bağlayıcı karar verme yetkisi tanır. Kurul tarafından alınacak böyle bir karar ise, tüm ilgili ve gerekçeli itirazları değerlendirmelidir.

Uyuşmazlığa ilişkin bağlayıcı kararı ile Kurul, şeffaflığın ihlali, cezanın hesaplanması ve Tüzük ile uyum tedbirleri bakımından taslak kararın değiştirilmesini önerdi. Kurul’un önerilerine istinaden İrlanda Veri Otoritesi, WhatsApp hakkında 225 milyon Avro idari para cezasına hükmetti. Buna ek olarak, Tüzük m. 58(2)(b) uyarınca, WhatsApp hakkında kınama cezasına karar verirken; veri işleme faaliyetlerini Tüzük ile uyumlu hale getirmesi için çeşitli talimatlar öngördü.[4]

Kurul Değerlendirmesi

İrlanda Veri Otoritesi taslak kararı ile WhatsApp İrlanda’nın şeffaflık yükümlülüğüne aykırı şekilde veri işleme faaliyetleri yürüttüğüne ve bu faaliyetlerin Tüzük m. 12, 13 ve 14 bakımından ihlal teşkil ettiğine kanaat getirdi. Konuya ilişkin incelemesi ile Kurul, İrlanda Veri Otoritesi’nin Tüzük m. 13(1)(c) kapsamında ihlal tespit ederken, Tüzük m. 13(1)(d) kapsamında bir aykırılık görmemiş olmasına dikkat çekti. Bu doğrultuda, ilgili kişilerin Tüzük’ten doğan haklarını uygun bir şekilde kullanabilmesi için hangi meşru menfaatin hangi veri işleme faaliyetine ilişkin olduğuna ve söz konusu menfaatlerin kimler tarafından gözetildiğine dair kesin bilgi sağlanması gerektiğini değerlendirdi.[5] WhatsApp İrlanda tarafından hazırlanan ve veri işleme faaliyetlerini hukuka uygun kılan meşru menfaatlere ilişkin Bildirim’in açık ve anlaşılır olmadığına kanaat getirdi.[6]

İrlanda Veri Otoritesi’nin diğer önemli tespiti, WhatsApp İrlanda tarafından sunulan ve kullanıcılar tarafından yetki verildiği takdirde adres defterlerindeki iletişim bilgilerine erişimi ve veri işlenmesini mümkün kılan “Rehber Özelliği”ne ilişkindi. Kurul ise, bu özellik ile hem WhatsApp hizmetlerini kullanan hem de kullanmayan kimselerin iletişim bilgilerinin işlenebildiğini değerlendirdi ve “Lossy Hashing” olarak ifade edilen yöntemin veri anonimleştirme bakımından etkili olup olmadığını inceledi. İlk olarak, İrlanda Veri Otoritesi taslak kararı ile WhatsApp İrlanda tarafından veri anonimleştirmek üzere kullanılan “Lossy Hashing” yönteminin kişisel veri teşkil etmediğine karar vermişti. İrlanda Veri Otoritesi bu yaklaşımına rağmen, WhatsApp İrlanda’nın Tüzük m. 14 kapsamındaki yükümlülüklerini ihlal ettiği görüşünü korumuş ve 30 milyon ile 50 milyon Avro arasında olmak üzere idari para cezasının uygun olacağını değerlendirmişti.[7] İlgili Otoriteler ise, İrlanda Veri Otoritesi’nin bu değerlendirmesine karşı birçok itiraz sundu. Kurul ise, Polonya Veri Otoritesi’nin veri anonimleştirilmesi için izlenen “Lossy Hashing” yönteminin teknik zorluklarına ilişkin değerlendirmesini yerinde buldu ve bu yöntemin kesin bir çözüm olmadığından hareketle, Tüzük m. 12 ve 14 ile getirilen yükümlülüklerin kapsamı ve öngörülen tedbirler bakımından farklı bir kararın mümkün olabileceğini belirtti.[8] İtiraz ve yorumları da göz önünde bulunduran Kurul, kullanıcı olmayan ilgili kişilerin Tüzük’ten doğan haklarının tehlikeye düşebileceğini değerlendirerek Taslak Karar’ın değiştirilmesi gerektiğine karar verdi. Böylece Tüzük m. 13(1)(d) kapsamında bir ihlal tespitinin eklenmesini uygun gördü.[9]

Öte yandan, başkaca ihlallerin söz konusu olduğuna ilişkin itirazlara istinaden Kurul, Tüzük m. 5(1)(a) kapsamında da yükümlülüklerin ihlal edildiği sonucuna vardı. Şeffaflık ilkesinin Tüzük m. 12, 13 ve 14 ile sınırlı olmadığı kabulüyle söz konusu ilkenin hem diğer ilkeleri pekiştirir hem de diğer ilkeleri temel alan nitelikte olduğunu kabul etti.[10] İhlallerin (i) ağırlığı, (ii) kapsayıcı niteliği ve (iii) etkisi değerlendirildiğinde, şeffaflık yükümlülüğüne aykırılığın Tüzük m. 5(1)(a) bakımından da ihlal anlamına geleceğine karar verdi.[11] Başka bir deyişle, kişisel verilerin hukuka uygun, adil ve şeffaf bir biçimde işleme yükümlülüğünün de ihlal edildiğini değerlendirdi.

Diğer yandan İrlanda Veri Otoritesi taslak kararı ile WhatsApp İrlanda’nın yürütmekte olduğu faaliyetleri Tüzük ile uyumlu hale getirmesine ilişkin talimatta bulunmuş; uyumun tesis edilebilmesi için Tüzük m. 58(2)(d)’ye göre altı aylık süre verilmesini uygun görmüştü. Ayrıca, WhatsApp İrlanda tarafından ilgili kişilere sağlanan bilgilerin Tüzük m. 12, 13 ve 14 ile uyumlu hale getirilebilmesi için benimsenecek yedi uygulamaya da taslak kararında yer vermişti.[12] Kurul ise, inceleme konusu teşebbüsün organizasyonu, büyüklüğü ve amacı doğrultusunda, faaliyetlerin şeffaflık yükümlülüğüne uygun olarak yürütülmesinin birincil öneme sahip olduğunu ifade etti ve İrlanda Veri Otoritesi tarafından verilen altı aylık sürenin üç aya indirilmesini uygun buldu.[13]

Tüzük m. 83(3)’e yaptığı atıf ile İrlanda Veri Otoritesi, Tüzük m. 12,13 ve 14 bakımından eş zamanlı meydana gelen ihlallere ilişkin olarak, “hükmedilecek toplam idari para cezasının en ağır ihlal bakımından öngörülen tutarı aşamayacağını[14] değerlendirmişti. Buna uygun olarak, en ağır yaptırımın kullanıcı olmayan ilgili kişiler bakımından düzenlenen Tüzük m. 14 ile getirildiğini ifade ederek sadece bu madde uyarınca ceza verilmesini Tüzük m. 83(3) bakımından uygun buldu.[15] Kurul ise ilk olarak, Tüzük m. 83(3)’ün yorumlanmasına ilişkin açıklama getirdi; Tüzük m. 83 ile güdülen amacın etkin, ölçülü ve caydırıcı cezalara[16] hükmetmek olduğunu değerlendirdi ve hükmedilecek cezanın somut olayın gereklerine de cevap vermesi gerektiğini ekledi.[17] Aksi halde birden fazla ihlal söz konusu olsa da veri sorumlusunun sadece bir ihlal bakımından cezalandırılacağını; bir ya da birden fazla ihlalin gerçeklemesi arasında bir fark olmayacağını vurguladı.[18] Böylece Kurul, anılan madde ile yer verilen “toplam idari para cezası en ağır ihlal için belirtilen tutarı aşamaz” ifadesine ilişkin yorumunu ilk defa açıkladı; birden fazla madde bakımından ihlal tespitinde bulunulabildiği gibi, toplam ceza hesaplanırken tüm ihlallerin göz önünde bulundurulması gerektiğini ifade etti. Aynı veya bağlantılı veri işleme faaliyetleri nedeniyle birden fazla ihlal meydana geldiği durumda, söz konusu ihlaller için öngörülen en ağır tutar, verilecek ceza için bir üst sınır da teşkil etse, diğer ihlallerin de göz ardı edilemeyeceğini ifade etti.[19] Bu doğrultuda, somut olayda, idari para cezasına karar verilirken tüm ihlallerin dikkate alınması gerektiğine karar verdi.[20]

Cezanın hesaplanmasına ilişkin olarak Kurul, İrlanda Veri Otoritesi’nin taslak kararında “ihlalin niteliği, ağırlığı ve süresi” ile “ihlalden potansiyel etkilenen ilgili kişi sayısı”nı esas aldığını vurguladı. Cezanın etkili olabilmesi için ise, somut olayın koşullarının da değerlendirilmesini gerekli gördü. Buna ek olarak, veri sorumlusunun ekonomik durumunun da esas alınması gerektiğini hatırlattı.[21] Tüzük m. 83(2) uyarınca ihlalin niteliği, ağırlığı ve süresi kriterleri değerlendirildiğinde, hesaplanacak idari para cezasının sadece Soruşturma konusu teşebbüsü esas alması, ihlalin ciddiliği ve ağırlığı bakımından yetersiz olacağını ve WhatsApp İrlanda üzerinde caydırıcı olmayacağını belirtti.[22] Son olarak Kurul, İrlanda Veri Otoritesi’nin taslak kararına yaptığı atıf ile Facebook Inc. ve WhatsApp İrlanda’yı tek bir teşebbüs olarak değerlendirdi[23] ve cezanın hesaplanmasında esas alınacak cironun ise, tüm iştirakleri bünyesinde toplayan teşebbüsün konsolide cirosu olduğunu kabul etti. Kurul tarafından getirilen öneriyi göz önünde bulunduran İrlanda Veri Otoritesi, ana şirketin konsolide cirosu, yani Facebook Inc.’ye ait konsolide ciro üzerinden cezanın hesaplanmasına karar verdi.[24]

Sonuç

Kurul’un hem cezanın hesaplanmasında hem de ceza üst sınırının belirlenmesinde benimsediği yaklaşım oldukça önemlidir. Ana şirket ve iştirakleri arasındaki ilişkiyi göz önündeki bulundurarak, soruşturma konusu iştirak hakkında verilecek cezanın hesaplanmasında ana şirketin konsolide cirosunu dahil etmesi çarpıcıdır. Ayrıca birden fazla ve birbiriyle bağlantılı veri işleme faaliyetleri bakımından gerçekleşen ihlaller bakımından para cezasının hesaplanmasında, tüm ihlallerin göz önünde bulundurulması gerektiği sonucuna varmıştır. Bu kapsamda Tüzük m. 83(3) bakımından getirdiği yorum yönlendiricidir. Bu nedenle Kurul Kararı (ve bu kararı takiben İrlanda Veri Otoritesi’nin Nihai Kararı) gelecekte özellikle ana şirket ve yavru şirket faaliyetlerinin gündeme geldiği soruşturmalar bakımından hükmedilecek cezalar için benimsenecek yaklaşıma ışık tutar niteliktedir.

[1] Başvuru için bakınız. https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry. (Erişim Tarihi: 13.11.2021)

[2] Başvuru için bakınız. https://edpb.europa.eu/news/news/2021/edpb-requests-irish-sa-amends-whatsapp-decision-clarifications-transparency-and_en. (Erişim Tarihi: 13.11.2021)

[3] Kurul Kararı, para. 4.

[4] Nihai Karar, para. 888. Lütfen bakınız. https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf. (Erişim Tarihi: 13.11.2021)

[5] Kurul Kararı, para. 57-9.

[6] Kurul Kararı, para. 60-6.

[7] Kurul Kararı, para. 68.

[8] Kurul Kararı, para. 136.

[9] Kurul Kararı, para. 66.

[10] Kurul Kararı, para. 192.

[11] Kurul Kararı, para. 201.

[12] Kurul Kararı, para. 241.

[13] Kurul Kararı, para. 263.

[14] Yazar tarafından çevrilmiştir.

[15] Kurul Kararı, para. 299.

[16] Kurul Kararı, para. 321.

[17] Kurul Kararı, para. 414.

[18] Kurul Kararı, para. 323.

[19] Kurul Kararı, para. 326.

[20] Kurul Kararı, para. 325.

[21] Kurul Kararı, para. 414.

[22] Kurul Kararı, para. 422.

[23] Kurul Kararı, para. 292.

[24] Nihai Karar, para. 887.

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.