Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?
Giriş
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan men etmişti. Karar ilk kez bir rekabet otoritesinin hâkim durumun kötüye kullanılması hakkındaki tespitini veri koruma kurallarının ihlaline dayandırması nedeniyle rekabet hukuku dünyasında çok geçmeden yankı uyandırmıştı. Geçtiğimiz günlerde, rekabet hukukunda veri koruma kurallarının uygulanmasında önemli noktalara temas eden Avrupa Birliği Adalet Divanı (“ABAD”) Hukuk Sözcüsü Athanasios Rantos'un uzun zamandır beklenen görüşü (“Görüş”) 20.09.2022 tarihinde yayımlandı.[1] Görüş, Avrupa Birliği Genel Veri Koruma Yönetmeliği (“GDPR”) ile rekabet hukuku arasındaki kesişimden kaynaklanan kilit noktalara ışık tuttuğundan, bu makalede Görüş ve rekabet hukuku üzerindeki olası etkileri tartışılacaktır.
Ne Olmuştu?
Meta aleyhine yürütülen soruşturmanın başlangıcı, Meta’nın hizmet koşullarının kişisel verilerin korunması hükümlerinin ihlal edilip edilmediği şüphesiyle Meta'nın sosyal ağ pazarındaki hâkim durumunu ve kullanıcı verilerinin kullanımına ilişkin hizmet şartlarının incelendiği 2016 yılına uzanır.[2] Hâkim durumda bulunan şirketlere yöneltilen her ihlal şüphesinin rekabet hukuku çatısı altında değerlendirilemeyeceği bilinse de, soruşturmanın özü Meta'nın hizmet koşullarında yer alan bazı hükümlerin, Almanya’da bulunan kullanıcılara sömürücü nitelikte haksız koşullar dayatıyor olma şüphesine dayanır. Bunun nedeni, hizmet koşullarının “kabul et veya terk et” özelliğinin Meta’ya, Facebook’un kullanıcıları ve cihazları hakkında Facebook'un kurumsal hizmetlerinden (yani WhatsApp ve Instagram) ve kullanıcıların Facebook dışındaki etkinliklerinden veri toplamasına (Facebook Business Tools aracılığıyla) ve Facebook sosyal ağındaki kullanıcı verileriyle birleştirilmesine imkan tanımasıdır. Meta söz konusu verilerin toplanması ve işlenmesinde meşru menfaati olduğunu savunmuştur. Bundeskartellamt’a göre ise reklamcılık ile finanse edilen bir sosyal ağın her ne kadar büyük miktarlarda kişisel veriyi işlemesi gerekebilecek olsa da, Facebook'un diğer kurumsal hizmetlerinden ve Facebook Business Tools’dan elde ettiği kişisel verileri kapsamlı şekilde işlemesi, diğer etkilerinin yanı sıra, kullanıcıların profilini çıkarma ve cihazlarının izlenmesine olanak tanır ve bu nedenle kullanıcıların rızasının alınması gerekir. Ancak rızanın Facebook.com hizmetini kullanmak için bir ön koşul olması halinde, etkili bir rızanın varlığından söz edilemeyecektir. Bu nedenle Bundeskartellamt’a göre, Facebook'un veri politikası, GDPR'de belirtilen veri koruma sınırlarını açıkça aşar ve “sömürücü ticari koşullarla” hakim durumun kötüye kullanılması teşkil eder. Bunun sonucunda, Bundeskartellamt Facebook’un hizmet şartlarının yalnızca kurumsal hizmetler, Facebook Business Tools ve çerez politikaları aracılığıyla veri toplanmasına izin veren ilgili bölümlerini değil, aynı zamanda bu şartlara dayalı olarak Facebook tarafından verilerin fiilen işlenmesini de yasaklar.
Meta'nın Bundeskartellamt'ın kararına itiraz etmesi üzerine Düsseldorf Eyalet Yüksek Mahkemesi karara ilişkin "ciddi şüpheler" bulunduğunu ifade ederek 11.02.2019 tarihinde yürütmenin durdurulmasına karar verir.[3] Mahkeme Meta'nın veri işleme politikası sonucu meydana gelen herhangi bir zararın, tüketiciler veya rakipler açısından rekabetçi bir zarar doğuracağı konusunda şüphe duymuştur. Ancak Federal Adalet Mahkemesi, Düsseldorf Eyalet Yüksek Mahkemesi kararını bozar.[4] Fedaral Adalet Mahkemesi, verilere erişimin temel bir rekabet parametresi olduğunu ve reklam sözleşmelerinden elde edilen karlar aracılığıyla sosyal ağın büyümesine katkıda bulunduğunu dile getirir. Buradan hareketle, çevrimiçi reklamcılık pazarının da etkileneceği yapılan tespitler arasındadır.[5]
ABAD Hukuk Sözcüsü Rantos’un Görüşü
Meta’nın itirazına ilişkin dosyanın esası hakkında karar vermeden önce Düsseldorf Eyalet Yüksek Mahkemesi ön karar prosedürü kapsamında ABAD’a yedi soru yöneltmiştir. Görüş’te atıfta bulunulan konular ve bunlara karşılık verilen cevaplar aşağıdaki gibidir:
Rekabet Otoritesinin Kişisel Verilerin İşlenmesine Dayalı Bir İhlali Cezalandırma Yetkisi ve GDPR Kapsamında Yetkili Makam ile İşbirliği Yapma Yükümlülükleri Hakkında
Rekabet otoritesinin hakim durumun kötüye kullanılması incelemesi, böyle bir incelemenin tali olarak yapıldığı ve yetkili denetim makamının bilgilendirildiği ve yetkili denetim makamıyla işbirliği yapıldığı takdirde, GDPR gibi rekabet hukuku dışında kalan hukuk kurallarının yorumlanmasını gerektirebilecektir. Hukuk Sözcüsü Rantos Görüş’ünde, Bundeskartellamt'ın yetkili denetim makamına karşı, özen ve samimi işbirliği gösterdiğine dair yeterli kanıt olduğu sonucuna ulaşmıştır.
İnternet Sitelerini, Uygulamaları Ziyaret Ederek ve Bilgi Girerek ve Bunlara Entegre Tuşlara Tıklayarak veya Dokunarak Veri Sahibi Tarafından Açıklanan Hassas Verilerin İşlenmesi Konusu
Hukuk Sözcüsü Rantos, belirli bir kişi hakkında belirli bir durumu “ifşa ettiği” için hassas olan kişisel verilerle, hassas kişisel verilerin işlenmesini yasaklayan GDPR’nin 9(1) maddesi kapsamında öngörülen ve doğası gereği hassas olan veriler arasında bir fark olmadığını dile getirir. Başka bir deyişle Rantos’a göre hassas verilerin işlenmesi yasağının sınırları, tek başına hassas veri olmamakla birlikte, kullanıcının tercihleri hakkında çıkarım yapmaya yardımcı olan kişisel verilerin, kullanıcıların açık rızası dışında toplanmasını da kapsar. Bu nedenle, bir internet sitesi veya uygulama ziyaretiyle ilgili kişisel verilerin toplanması faaliyeti, hassas kişisel verilerin işlenmesiyle aynı işleve sahip olmasa dahi, verilerin kullanıcının Facebook hesabına bağlandığı veya kullanıldığı durumda, hukuka aykırı olarak hassas kişisel verilerin işlenmesinden söz edilecektir. Hassas kişisel verilerin işlenmesi yasağının istisnasına gelince, kullanıcı, açık bir eylemle kişisel verileri kamuya açık hale getirdiğinin tamamen farkında olmalıdır. Hukuk Sözcüsü Rantos, kullanıcıların cihazlarında birtakım teknik araçların kurulması için iznin önceden verilmesi şart koşulduğundan, veri sahibinin kişisel verilerinin çerezler veya benzer teknolojiler tarafından toplanmasına ilişkin varsayımsal rızasının, verilerin işlenmesini haklı çıkarmak için yeterli olmadığı sonucuna varmıştır. Bu nedenle böyle bir rızanın veri sahibinin bu tür verileri açıkça kamuya açıklama niyetini de göstermeyeceği sonucuna varmıştır.
Kişisel Verilerin Meta Tarafından İşlenmesi Gerektiği Konusu
Görüş’te Hukuk Sözcüsü Rantos, Meta tarafından sunulan çeşitli hizmetler arasında (örneğin Facebook ve Instagram arasında) kurulacak bağlantının, içeriğin kişiselleştirilmesi açısından kullanıcı için "faydalı" olabilmesine rağmen, kişisel verilerin işlenmesinin Facebook ve kullanıcıları arasındaki sözleşmenin ifası için "gerekli" olmadığını vurgulamaktadır. Facebook'un, kullanıcıları hakkında Facebook dışı kaynaklardan bilgi toplanmasını da içeren, kullanıcı profili oluşturma faaliyetleri dikkate alındığında, iddia edilen gerekçeler, bir kullanıcının Facebook'a kaydolurken sahip olduğu makul beklentileriyle de örtüşmemektedir. Bu nedenle mevcut soruşturmada öne sürülen reklamın kişiselleştirilmesi, ağ güvenliği ve ürün geliştirme gibi birtakım gerekçele, veri sorumlusunun yani Meta’nın, kullanıcının rızasını almaktan kaçınmasınmasını meşru kılan gerekçeler olarak değerlendirilemeyecektir.
Kullanıcı Tarafından Hâkim Durumdaki Bir Teşebbüse Etkin Bir Şekilde Rıza Verilip Verilemeyeceği Konusu
Görüş’te, veri sahibi ile veri sorumlusu arasında açık bir dengesizlik olduğunda, özellikle, hizmetten faydalanılabilmesi için, kullanıcının sözleşmenin ifası için gerekli olmayan kişisel verilerin işlenmesini kabul etmesi gerektiği durumlarda verilen rızanın, verilerin işlenmesi için geçerli bir yasal dayanak oluşturmadığı ifade edilir. Bununla birlikte, bir teşebbüsün sosyal ağ pazarında hakim durumda olmasının, başlı başına kullanıcının kişisel verilerini işleme rızasını geçersiz kılmayacağı da belirtilmiştir. Ancak bir hakim durum bulgusunun, kullanıcının rızasının özgür ve etkili bir şekilde verilip verilmediği hakkında yapılan incelemeye etki edeceği Görüş’te vurgulanmıştır.
Hukuk Sözcüsü Rantos'un Görüşü Rekabet Hukuku Açısından Ne İfade Ediyor?
Görüş, rekabet otoriteleri ve Meta gibi tüm dünyada veri politikalarıyla ilgili soruşturmalarla karşı karşıya kalan dijital platformlara rehberlik sağlayabileceği umuduyla rekabet hukuku çevrelerinde merakla bekleniyordu.
Nitekim 11.01.2021 tarihinde Türkiye Rekabet Kurumu (“Kurum”), Meta'nın Türkiye'deki WhatsApp kullanıcılarına zorunlu veri paylaşımı koşulunu getiren yeni “WhatsApp güncelleme bildirimi” politikasına ilişkin Meta hakkında resen soruşturma başlatmıştı. Kurum, Meta'nın yeni uygulamaya koyduğu ve WhatsApp uygulmasını kullanmak isteyen Türkiye’de bulunan kullanıcılarına rıza verme koşulu getiren veri politikasının, ciddi rekabet endişeleri yaratacağı sonucuna varmıştı. Kurum, Meta'nın diğer kurumsal hizmetleriyle bağlantılı WhatsApp verilerinin işlemesine ilişkin, Meta'nın tüketici iletişim hizmetleri pazarında pazar gücünü kötüye kullanarak rakiplerinin pazardan dışlanmasına yol açabileceği kanaatine varmıştı. Ayrıca, Kurum bu politikanın aşırı miktarda kullanıcı verisi toplanmasına ve işlenmesine yol açacağı ve bunun da nihai olarak tüketicilerin sömürülmesine yol açacağı tespitinde bulunmuştur. Bunun sonucunda Kurum, Meta hakkında geçici tedbirler uygulayarak Meta'nın yeni hizmet şartlarının askıya alınmasına hükmetmişti.
Duruşmanın ardından ise Kurum geçtiğimiz günlerde, Meta hakkında 346.717.93,40 TL idari para cezasına hükmeti.[6] Kurum ilgili kararı, Meta'nın Facebook, Instagram ve WhatsApp hizmetlerinden topladığı kullanıcı verilerini birleştirerek kişisel amaçlı sosyal ağ hizmetleri, tüketici iletişim hizmetleri ve çevrim içi görüntülü reklamcılık pazarlarında hakim durumunu kötüye kullanmasına atfetti.
Kurum’un kararı, çeşitli kaynaklardan elde edilen büyük öneme sahip, kullanıcı hakkında fikir veren verileri toplayıp mevcut veri setleri ile birleştiren dijital platformların ,rekabet otoriteleri tarafından cezalandırılması eğiliminin giderek artttığını gösterdiğinden önemlidir. Bu bağlamda Kurum’un kararı, ilgili pazarlardaki rakiplerin pazardan dışlanmasına ilişkin ek bir bulguyla birlikte, Bundeskartellamt'ın kararını ve Görüş’ü önemli ölçüde yansıtır. Her ne kadar ön karar için yöneltilen soruların cevapları ABAD'ın nihai kararına bağlı olsa da, Görüş’te platformların verileri işleme şeklini değiştirmeleri gerekeceğini dair önemli birtakım noktalara parmak basılmıştır.
Sonuç
Görüşte yer alan kilit noktalar şunlardır: i) rekabet otoriteleri yetkilerini kullanırken rekabete aykırı bir davranışın tespitinde GDPR kurallarını uygulayabilir, ii) hakim durum tespiti, tek başına yeterli olmasa da, veri sahibi tarafından verilen rızanın geçerliliğinin değerlendirilmesinde önemli rol oynar iii) hassas verilerin işlenmesi yasağı, kullanıcı verilerinin çevrimiçi kanallar üzerinden takibi ve diğer kaynaklardan elde edilen verilerle birleştirilmesini de kapsar, iv) bir kullanıcının internet üzerinde bıraktığı “izler”, kullanıcı tarafından açıkça kamuya açıklanmış verileri oluşturmaz ve v) kullanıcı verilerinin işlenmesinde veri sorumlusunun meşru menfaatinden söz edebilmek için, veri işlemenin sözleşmenin ifası için nesnel olarak gerekli olması ve daha az müdahaleci alternatiflerin mevcut olmaması gerekir.
Görüş’ün ABAD tarafından onaylanması durumunda, ön karar gelecekteki davalar için bir referans olacak ve GDPR'nin rekabet hukuku alanında daha fazla uygulanmasına yardımcı olacaktır. GDPR ile rekabet hukuku kesişiminde yapbozun eksik parçasının bulunup bulunmadığı sorusuna ise bu nedenle “henüz değil” cevabının verilmesi mümkündür. Bununla birlikte, bu can alıcı sorunun cevabına yönelik Görüş kesinlikle önemli ipuçları barındırmaktadır.
- Hukuk Sözcüsü Rantos’un Görüşü, https://curia.europa.eu/juris/document/document.jsf;jsessionid=185B1351FFE39552EC40994D9E65F286?text=&docid=265901&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=254586
- Bundeskartellamt’ın 02.03.2016 tarihli basın duyurusu, https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html
- Düsseldorf Eyalet Yüksek Mahkemesi kararı, https://res.cloudinary.com/gcr-usa/image/upload/v1566906490/20190826-Beschluss-VI-Kart-1-19-_V__lfijsf.pdf
- Almanya Fedaral Adalet Mahkemesi (Bundesgerichtshof – BGH) Almanya'nın en yüksek hukuk ve ceza mahkemesidir.
- Almanya Fedaral Adalet Mahkemesi kararı, https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/Pressemitteilungen/2020/23_06_2020_BGH_Facebook.pdf?__blob=publicationFile&v=3
- Türk Rekabet Kurumu’nun 26.10.2022 tarihli basın duyurusu,https://www.rekabet.gov.tr/Dosya/1-meta-nihai-karar-internet-duyurusu.pdf
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
