Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?

31.10.2022 Nil Zeren Özdemir

Giriş

Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan men etmişti. Karar ilk kez bir rekabet otoritesinin hâkim durumun kötüye kullanılması hakkındaki tespitini veri koruma kurallarının ihlaline dayandırması nedeniyle rekabet hukuku dünyasında çok geçmeden yankı uyandırmıştı. Geçtiğimiz günlerde, rekabet hukukunda veri koruma kurallarının uygulanmasında önemli noktalara temas eden Avrupa Birliği Adalet Divanı (“ABAD”) Hukuk Sözcüsü Athanasios Rantos'un uzun zamandır beklenen görüşü (“Görüş”) 20.09.2022 tarihinde yayımlandı.[1] Görüş, Avrupa Birliği Genel Veri Koruma Yönetmeliği (“GDPR”) ile rekabet hukuku arasındaki kesişimden  kaynaklanan kilit noktalara ışık tuttuğundan, bu makalede Görüş ve rekabet hukuku üzerindeki olası etkileri tartışılacaktır.

Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?
% 0

Ne Olmuştu?

Meta aleyhine yürütülen soruşturmanın başlangıcı, Meta’nın hizmet koşullarının kişisel verilerin korunması hükümlerinin ihlal edilip edilmediği şüphesiyle Meta'nın sosyal ağ pazarındaki hâkim durumunu ve kullanıcı verilerinin kullanımına ilişkin hizmet şartlarının incelendiği 2016 yılına uzanır.[2] Hâkim durumda bulunan şirketlere yöneltilen her ihlal şüphesinin rekabet hukuku çatısı altında değerlendirilemeyeceği bilinse de, soruşturmanın özü Meta'nın hizmet koşullarında yer alan bazı hükümlerin, Almanya’da bulunan kullanıcılara sömürücü nitelikte haksız koşullar dayatıyor olma şüphesine dayanır. Bunun nedeni, hizmet koşullarının “kabul et veya terk et” özelliğinin Meta’ya, Facebook’un kullanıcıları ve cihazları hakkında Facebook'un kurumsal hizmetlerinden (yani WhatsApp ve Instagram) ve kullanıcıların Facebook dışındaki etkinliklerinden veri toplamasına (Facebook Business Tools aracılığıyla) ve Facebook sosyal ağındaki kullanıcı verileriyle birleştirilmesine imkan tanımasıdır. Meta söz konusu verilerin toplanması ve işlenmesinde meşru menfaati olduğunu savunmuştur. Bundeskartellamt’a göre ise reklamcılık ile finanse edilen bir sosyal ağın her ne kadar büyük miktarlarda kişisel veriyi işlemesi gerekebilecek olsa da, Facebook'un diğer kurumsal hizmetlerinden ve Facebook Business Tools’dan elde ettiği kişisel verileri kapsamlı şekilde işlemesi, diğer etkilerinin yanı sıra, kullanıcıların profilini çıkarma ve cihazlarının izlenmesine olanak tanır ve bu nedenle kullanıcıların rızasının alınması gerekir. Ancak rızanın Facebook.com hizmetini kullanmak için bir ön koşul olması halinde, etkili bir rızanın varlığından söz edilemeyecektir. Bu nedenle Bundeskartellamt’a göre, Facebook'un veri politikası, GDPR'de belirtilen veri koruma sınırlarını açıkça aşar ve “sömürücü ticari koşullarla” hakim durumun kötüye kullanılması teşkil eder. Bunun sonucunda, Bundeskartellamt Facebook’un hizmet şartlarının yalnızca kurumsal hizmetler, Facebook Business Tools ve çerez politikaları aracılığıyla veri toplanmasına izin veren ilgili bölümlerini değil, aynı zamanda bu şartlara dayalı olarak Facebook tarafından verilerin fiilen işlenmesini de yasaklar.

Meta'nın Bundeskartellamt'ın kararına itiraz etmesi üzerine Düsseldorf Eyalet Yüksek Mahkemesi karara ilişkin "ciddi şüpheler" bulunduğunu ifade ederek 11.02.2019 tarihinde yürütmenin durdurulmasına karar verir.[3] Mahkeme Meta'nın veri işleme politikası sonucu meydana gelen herhangi bir zararın, tüketiciler veya rakipler açısından rekabetçi bir zarar doğuracağı konusunda şüphe duymuştur. Ancak Federal Adalet Mahkemesi, Düsseldorf Eyalet Yüksek Mahkemesi kararını bozar.[4] Fedaral Adalet Mahkemesi, verilere erişimin temel bir rekabet parametresi olduğunu ve reklam sözleşmelerinden elde edilen karlar aracılığıyla sosyal ağın büyümesine katkıda bulunduğunu dile getirir. Buradan hareketle, çevrimiçi reklamcılık pazarının da etkileneceği yapılan tespitler arasındadır.[5]

ABAD Hukuk Sözcüsü Rantos’un Görüşü

Meta’nın itirazına ilişkin dosyanın esası hakkında karar vermeden önce Düsseldorf Eyalet Yüksek Mahkemesi ön karar prosedürü kapsamında ABAD’a yedi soru yöneltmiştir. Görüş’te atıfta bulunulan konular ve bunlara karşılık verilen cevaplar aşağıdaki gibidir:

Rekabet Otoritesinin Kişisel Verilerin İşlenmesine Dayalı Bir İhlali Cezalandırma Yetkisi ve GDPR Kapsamında Yetkili Makam ile İşbirliği Yapma Yükümlülükleri Hakkında

Rekabet otoritesinin hakim durumun kötüye kullanılması incelemesi, böyle bir incelemenin tali olarak yapıldığı ve yetkili denetim makamının bilgilendirildiği ve yetkili denetim makamıyla işbirliği yapıldığı takdirde, GDPR gibi rekabet hukuku dışında kalan hukuk kurallarının yorumlanmasını gerektirebilecektir. Hukuk Sözcüsü Rantos Görüş’ünde, Bundeskartellamt'ın yetkili denetim makamına karşı, özen ve  samimi işbirliği gösterdiğine dair yeterli kanıt olduğu sonucuna ulaşmıştır.

İnternet Sitelerini, Uygulamaları Ziyaret Ederek ve Bilgi Girerek ve Bunlara Entegre Tuşlara Tıklayarak veya Dokunarak Veri Sahibi Tarafından Açıklanan Hassas Verilerin İşlenmesi Konusu

Hukuk Sözcüsü Rantos, belirli bir kişi hakkında belirli bir durumu “ifşa ettiği” için hassas olan kişisel verilerle, hassas kişisel verilerin işlenmesini yasaklayan GDPR’nin 9(1) maddesi kapsamında öngörülen ve doğası gereği hassas olan veriler arasında bir fark olmadığını dile getirir. Başka bir deyişle Rantos’a göre hassas verilerin işlenmesi yasağının sınırları, tek başına hassas veri olmamakla birlikte, kullanıcının tercihleri hakkında çıkarım yapmaya yardımcı olan kişisel verilerin, kullanıcıların açık rızası dışında toplanmasını da  kapsar. Bu nedenle, bir internet sitesi veya uygulama ziyaretiyle ilgili kişisel verilerin toplanması faaliyeti, hassas kişisel verilerin işlenmesiyle aynı işleve sahip olmasa dahi, verilerin kullanıcının Facebook hesabına bağlandığı veya kullanıldığı durumda, hukuka aykırı olarak hassas kişisel verilerin işlenmesinden söz edilecektir. Hassas kişisel verilerin işlenmesi yasağının istisnasına gelince, kullanıcı, açık bir eylemle kişisel verileri kamuya açık hale getirdiğinin tamamen farkında olmalıdır. Hukuk Sözcüsü Rantos, kullanıcıların cihazlarında birtakım teknik araçların kurulması için iznin önceden verilmesi şart koşulduğundan, veri sahibinin kişisel verilerinin çerezler veya benzer teknolojiler tarafından toplanmasına ilişkin varsayımsal rızasının, verilerin işlenmesini haklı çıkarmak için yeterli olmadığı sonucuna varmıştır. Bu nedenle böyle bir rızanın veri sahibinin bu tür verileri açıkça kamuya açıklama niyetini de göstermeyeceği sonucuna varmıştır.

Kişisel Verilerin Meta Tarafından İşlenmesi Gerektiği Konusu

Görüş’te Hukuk Sözcüsü Rantos, Meta tarafından sunulan çeşitli hizmetler arasında (örneğin Facebook ve Instagram arasında) kurulacak bağlantının, içeriğin kişiselleştirilmesi açısından kullanıcı için "faydalı" olabilmesine rağmen, kişisel verilerin işlenmesinin Facebook ve kullanıcıları arasındaki sözleşmenin ifası için "gerekli" olmadığını vurgulamaktadır. Facebook'un, kullanıcıları hakkında Facebook dışı kaynaklardan bilgi toplanmasını da içeren, kullanıcı profili oluşturma faaliyetleri dikkate alındığında, iddia edilen gerekçeler, bir kullanıcının Facebook'a kaydolurken sahip olduğu makul beklentileriyle de örtüşmemektedir. Bu nedenle mevcut soruşturmada öne sürülen reklamın kişiselleştirilmesi, ağ güvenliği ve ürün geliştirme gibi birtakım gerekçele, veri sorumlusunun yani Meta’nın, kullanıcının rızasını almaktan kaçınmasınmasını meşru kılan gerekçeler olarak değerlendirilemeyecektir.

Kullanıcı Tarafından Hâkim Durumdaki Bir Teşebbüse Etkin Bir Şekilde Rıza Verilip Verilemeyeceği Konusu

Görüş’te, veri sahibi ile veri sorumlusu arasında açık bir dengesizlik olduğunda, özellikle, hizmetten faydalanılabilmesi için, kullanıcının sözleşmenin ifası için gerekli olmayan kişisel verilerin işlenmesini kabul etmesi gerektiği durumlarda verilen rızanın, verilerin işlenmesi için geçerli bir yasal dayanak oluşturmadığı ifade edilir. Bununla birlikte, bir teşebbüsün sosyal ağ pazarında hakim durumda olmasının, başlı başına kullanıcının kişisel verilerini işleme rızasını geçersiz kılmayacağı da belirtilmiştir. Ancak bir hakim durum bulgusunun, kullanıcının rızasının özgür ve etkili bir şekilde verilip verilmediği hakkında yapılan incelemeye etki edeceği Görüş’te vurgulanmıştır.

Hukuk Sözcüsü Rantos'un Görüşü Rekabet Hukuku Açısından Ne İfade Ediyor?

Görüş, rekabet otoriteleri ve Meta gibi tüm dünyada veri politikalarıyla ilgili soruşturmalarla karşı karşıya kalan dijital platformlara rehberlik sağlayabileceği umuduyla rekabet hukuku çevrelerinde merakla bekleniyordu.

Nitekim 11.01.2021 tarihinde Türkiye Rekabet Kurumu (“Kurum”), Meta'nın Türkiye'deki WhatsApp kullanıcılarına zorunlu veri paylaşımı koşulunu getiren yeni “WhatsApp güncelleme bildirimi” politikasına ilişkin Meta hakkında resen soruşturma başlatmıştı. Kurum,  Meta'nın yeni uygulamaya koyduğu ve WhatsApp uygulmasını kullanmak isteyen Türkiye’de bulunan kullanıcılarına rıza verme koşulu getiren veri politikasının, ciddi rekabet endişeleri yaratacağı sonucuna varmıştı. Kurum, Meta'nın diğer kurumsal hizmetleriyle bağlantılı WhatsApp verilerinin işlemesine ilişkin, Meta'nın tüketici iletişim hizmetleri pazarında pazar gücünü kötüye kullanarak rakiplerinin pazardan dışlanmasına yol açabileceği kanaatine varmıştı. Ayrıca, Kurum bu politikanın aşırı miktarda kullanıcı verisi toplanmasına ve işlenmesine yol açacağı ve bunun da nihai olarak tüketicilerin sömürülmesine yol açacağı tespitinde bulunmuştur. Bunun sonucunda Kurum, Meta hakkında geçici tedbirler uygulayarak Meta'nın yeni hizmet şartlarının askıya alınmasına hükmetmişti.

Duruşmanın ardından ise Kurum geçtiğimiz günlerde, Meta hakkında 346.717.93,40 TL idari para cezasına hükmeti.[6] Kurum ilgili kararı, Meta'nın Facebook, Instagram ve WhatsApp hizmetlerinden topladığı kullanıcı verilerini birleştirerek kişisel amaçlı sosyal ağ hizmetleri, tüketici iletişim hizmetleri ve çevrim içi görüntülü reklamcılık pazarlarında hakim durumunu kötüye kullanmasına atfetti.

Kurum’un kararı, çeşitli kaynaklardan elde edilen büyük öneme sahip, kullanıcı hakkında fikir veren verileri toplayıp mevcut veri setleri ile birleştiren  dijital platformların ,rekabet otoriteleri tarafından cezalandırılması eğiliminin giderek artttığını gösterdiğinden önemlidir. Bu bağlamda Kurum’un kararı, ilgili pazarlardaki rakiplerin pazardan dışlanmasına ilişkin ek bir bulguyla birlikte, Bundeskartellamt'ın kararını ve Görüş’ü önemli ölçüde yansıtır. Her ne kadar ön karar için yöneltilen soruların cevapları ABAD'ın nihai kararına bağlı olsa da, Görüş’te platformların verileri işleme şeklini değiştirmeleri gerekeceğini dair önemli birtakım noktalara parmak basılmıştır.

Sonuç

Görüşte yer alan kilit noktalar şunlardır: i) rekabet otoriteleri yetkilerini kullanırken rekabete aykırı bir davranışın tespitinde GDPR kurallarını uygulayabilir, ii) hakim durum tespiti, tek başına yeterli olmasa da, veri sahibi tarafından verilen rızanın geçerliliğinin değerlendirilmesinde önemli rol oynar iii) hassas verilerin işlenmesi yasağı, kullanıcı verilerinin çevrimiçi kanallar üzerinden takibi ve diğer kaynaklardan elde edilen verilerle birleştirilmesini de kapsar, iv) bir kullanıcının internet üzerinde bıraktığı “izler”, kullanıcı tarafından açıkça kamuya açıklanmış verileri oluşturmaz ve v) kullanıcı verilerinin işlenmesinde veri sorumlusunun meşru menfaatinden söz edebilmek için, veri işlemenin sözleşmenin ifası için nesnel olarak gerekli olması ve daha az müdahaleci alternatiflerin mevcut olmaması gerekir.

Görüş’ün ABAD tarafından onaylanması durumunda, ön karar gelecekteki davalar için bir referans olacak ve GDPR'nin rekabet hukuku alanında daha fazla uygulanmasına yardımcı olacaktır. GDPR ile rekabet hukuku kesişiminde yapbozun eksik parçasının bulunup bulunmadığı sorusuna  ise bu nedenle “henüz değil” cevabının verilmesi mümkündür. Bununla birlikte, bu can alıcı sorunun cevabına yönelik Görüş kesinlikle önemli ipuçları barındırmaktadır.

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı
Hukuk Postası
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı

Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...

Kişisel Verilerin Korunması 30.09.2022
GDPR ve Toplu Davalar
Hukuk Postası
GDPR ve Toplu Davalar

Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...

Kişisel Verilerin Korunması 31.08.2022
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Hukuk Postası
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı

Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...

Kişisel Verilerin Korunması 31.07.2022
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza
Hukuk Postası
Unutulma Hakkı
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
İlaç Sektöründen Gelen KVK Kılavuzu
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Kişisel Verilerin İmhası
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.