Avrupa Birliği Adalet Divanı (ABAD) son verdiği kararla sayfa yöneticilerinin sorumluluğunu net bir ifadeyle belirledi.
ABAD'ın son kararı özellikle kişisel veriler konusunda sayfa yöneticilerinin de hangi boyutlarda sorumluluğu olduğuna ışık tutuyor.
Almanya'da eğitim faaliyetleri yürüten Wirtschaftsakademie Schleswig-Holstein firmasının facebook üzerinde işlettiği hayran sayfasının ilgili Alman veri koruma otoritesi (Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein) tarafından hem #facebook hem de sayfa yöneticisi tarafından kullanıcıların kişisel verilerinin işlenmesi ile ilgili olarak bilgilendirilmemesi nedeniyle kapatılması üzerine ortaya çıkan ihtilaf, konuyla ilgili olarak görüş verilmesi amacıyla ABAD'ın önüne gelmiştir.
#ABAD konuyu Çerez ifadesinin tanımı, söz konusu çerezlerin hangi amaçlarla elde edilmesi, nasıl kullanıldığı gibi hususlarda incelemiş, sonuç olarak Çerez bilgilerine kişisel veri özellinde site yöneticisi erişmese dahi, çerez toplama amaçlarının ve içeriğinin site yöneticisi tarafından belirlenmesi nedeniyle Facebook ve Sayfa Yönetcisi'ni beraber veri sorumlusu olarak tanımlamıştır. Beraber veri sorumlusu kavramının #KVKK özelinde hukukumuzda yer almayan bir kavram olduğunu da hemen belirtelim.
“Sayfa yöneticisi, sayfa ziyaretçilerinin kişisel verilerinin işlenme amaç ve vasıtalarının belirleyen parametrelerin tanımlanmasında (özellikle hedef kitle ve faaliyetlerin yönetimi ve tanıtımı amaçlarına bağlı olarak) rol almaktadır."
Kısaca örneklemek ve başka bir pencereden konuya bakmak gerekirse, örneğin AB sınırları içerisinden trafik alan web sitenizde sadece Google #Analytics kullanıyorsunuz ve sadece özet bilgi alıyorsunuz. Özet (analitik) bilgi olarak da aldığınız için ben kişisel veri işlemiyorum diye de düşünüyorsunuz ve GDPR kapsamında değerlendirilmem mümkün değil diye yorumluyorsunuz. O halde AB #GVKT 3. maddesi 1. fıkrasına bakalım:
Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya veri işlyen işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
Her ne kadar şu an için uygulama konusunda nasıl bir yöntem belirleneceği net olmasa da, yalnızca yukarıdaki ifadeye bakarak, Türkiye'de faaliyet gösterip, yurtdışından #çerezler vasıtasıyla trafik akışı sağlayan site yöneticilerinin de #GVKT (#GDPR) kapsamına gireceği en azından maddenin lafzi yorumundan anlaşılmaktadır.
Kararın çerezler ile ilgili önemli bir kısmının tercümesi aşağıdadır:
“Sayfa yöneticisi, sayfa ziyaretçilerinin kişisel verilerinin işlenme amaç ve vasıtalarının belirleyen parametrelerin tanımlanmasında (özellikle hedef kitle ve faaliyetlerin yönetimi ve tanıtımı amaçlarına bağlı olarak) rol almaktadır."
Mahkeme, fan sayfası yöneticisinin, kendisine nerede özel fırsatlar sunması ve etkinlikler düzenlemesini gerektiğini ve daha genel olarak kendisine en iyi hedefi sunan bilgiye ulaşmasını sağlayan hedef kitle demografik verisini (anonim olarak) – ve söz konusu verinin işlenmesi talebini- hedef kitleye yönelik olarak (yaş, cinsiyet, ilişkiler ve iş trendleri), söz konusu hedef kitlenin hayat biçimleri ve ilgi merkezleri (sayfa ziyaretçilerinin alım ve çevrimiçi alım alışkanlıkları, en çok rağbet gören mal ve hizmet kategorisi dahil olmak üzere) ve coğrafi veriyi talep edebileceğine dikkat çekmektedir.”
Kararın orijinaline bu linkten ulaşabiliriniz.
Av. Serhat TURAN