Fransa Ulusal Bilişim ve Özgürlükler Komisyonu (CNIL) dün açıkladığı kararla Google’a; şeffaflık prensibine uygun hareket etmediği, kullanıcılara yeterli bilgilendirme sunmadığı ve kişiselleştirilmiş reklamlar için geçerli bir rıza almadığı gerekçesiyle 50 milyon avro para cezası verdi. Bu ceza, CNIL’in GDPR’a ilişkin ilk uyguladığı para cezası olurken aynı zamanda Avrupa’da GDPR kapsamında şu ana kadar verilen en yüksek para cezası olma niteliğini de taşımaktadır.
Karara ilişkin süreç 2018 yılının Mayıs ayında iki kuruluşun CNIL’e şikâyetiyle başladı. Şikâyette temel olarak Google’ın geçerli bir hukuki sebebe sahip olmadan kullanıcıların kişisel verilerini özellikle de kişiselleştirilmiş reklamlar için işlediği öne sürüldü. CNIL ise yaptığı değerlendirmede Google’ın veri işleme faaliyetlerinin iki konuda GDPR’a aykırılık taşıdığını tespit etti:
1) Şeffaflık ve Aydınlatma Yükümlülüğüne İlişkin Eksikliklerin Bulunması
CNIL, öncelikli olarak Google tarafından kullanıcılara sunulan bilgilerin kolaylıkla ulaşılabilir olmadığını ve GDPR’ın yükümlülüklerine aykırılık taşıdığını tespit etti. Verilerin hangi amaçla işlendiği, saklama süreleri ve kişiselleştirilmiş reklamlar için kullanılan veri kategorileri gibi temel bilgilerin birçok farklı belge içerisine dağılmış halde olduğunu belirtti. Bu sebeple kullanıcıların gerekli bilgiye ulaşmak için çeşitli buton ve linkler aracılığıyla kimi hallerde 5 veya 6 adım gerektiren işlemler yapmak zorunda olduğu ifade edildi. Kişiselleştirilmiş reklamlar ya da konuma ilişkin verilerin işlenme süreçleri hakkında bilgilendirmelerin bu durumun bir örneğini oluşturduğu belirtildi.
Bununla birlikte CNIL tarafından yapılan değerlendirmede bilgilendirmenin her zaman açık ve anlaşılabilir bir niteliğe sahip olmadığına dikkat çekildi. Google tarafından yapılan bilgilendirmenin uzun ve karmaşık olduğu, bu sebeple kullanıcıların işleme faaliyetlerini anlamalarının mümkün olmadığı belirtildi. Google tarafından 20’ye yakın hizmet sunulduğu, bu hizmetlerin sayısı ve niteliği gereği böyle bir durumun mevcut olduğu ifade edildi. Özellikle veri işleme amaçlarının oldukça genel ve muğlak şekilde belirtildiğine vurgu yapıldı. Ayrıca kişiselleştirilmiş reklamların oluşturulmasına dayanak olan hukuki sebebin; Google’ın meşru menfaati değil de rıza olduğu konusunda kullanıcıların açık şekilde bilgilendirilmediği tespit edildi. Son olarak kimi verilerin saklama sürelerinin de belirtilmediği ifade edildi.
2) Kişiselleştirilmiş Reklam Faaliyetlerine İlişkin Geçerli Bir Hukuki Sebebin Mevcut Olmaması
Google, kullanıcıların rızasına dayalı olarak kişiselleştirilmiş reklamlar kapsamındaki veri işleme faaliyetlerini yürütmektedir. Ancak CNIL tarafından yapılan değerlendirmede iki gerekçeyle rızanın hukuka uygun bir biçimde alınmadığı tespit edilmiştir.
İlk olarak, kullanıcıların rızalarının yeterli bir bilgilendirmeye dayalı olarak alınmadığı tespit edildi. Veri işleme faaliyetlerine yönelik açıklamaların birçok farklı belgede yer almasının kullanıcıların bu konuda yeterli farkındalığa sahip olmasını engellediği belirtilmiştir. Örneğin reklamların kişiselleştirilmesi başlığı altında, bu konuya ilişkin çok sayıdaki hizmet ve uygulamalar (Google Search, Youtube, Google Home, Google Maps, Playstore, Google Photo…) ile işlenen verilerin kapsamı hakkında bilgi sahibi olmanın mümkün olmadığı ifade edildi.
İkinci olarak alınan rızanın “belirli” (specific) ve “açık” (unambiguous) niteliğe sahip olmadığı tespit edildi. Esasen kullanıcıların Google hesaplarını oluşturmadan önce “Ek Ayarlar” seçeneğine tıklayarak özellikle kişiselleştirilmiş reklamlar için bazı tercihlerde değişiklik yapma imkanı bulunmaktadır. Ancak CNIL tarafından yapılan değerlendirmede bu durumun GDPR’a uygun olmadığı belirtilmiştir. Buradaki tek sorunun ayarları değiştirmek için kullanıcıları başka bir linke yönlendirmek olmadığı da ifade edilmiştir. Nitekim yönlendirilen seçenekte kişiselleştirilmiş reklamlar varsayılan bir ayar olarak zaten işaretlenmiş durumdadır. Dolayısıyla kullanıcıların bu seçenekten vazgeçmeleri için aktif bir eylem olarak işareti kaldırmaları gerekmektedir. Halbuki CNIL’e göre GDPR kapsamında “açık” (unambiguous) nitelikli bir rızadan söz edilebilmesi için kullanıcıların bu uygulamanın aksine önceden işaretlenmemiş boş bir kutucuğu aktif bir eylem göstererek işaretlemeleri gerekmektedir. Bu nedenle rızaya ilişkin bu şartın yerine getirildiği söylenemeyecektir. Son olarak hesap oluşturmadan önce, “Google’ın hizmet şartlarını kabul ediyorum” ve “Bilgilerimin yukarıda açıklandığı ve gizlilik kurallarında ayrıntılandırıldığı şekilde kullanılmasını kabul ediyorum” şeklindeki seçeneklerin kullanıcılar tarafından onaylanmasının talep edildiği; ancak bu tür bir uygulamanın kullanıcıların bir bütün halinde onaylarının alınmasına sebebiyet verdiği belirtilmiştir. CNIL’e göre bu durum rızanın belirli (specific) olması şartına aykırılık taşımaktadır. Nitekim kişiselleştirilmiş reklamlar, ses tanıma gibi işleme amacı bakımından farklılık arz eden veri işleme faaliyetleri için genel nitelikli tek bir rıza alınması GDPR’a uygun görülmemiştir.
Kararda öne çıkan unsurlardan birisi de CNIL’in bu kararı vermeye yetkili olup olmadığına ilişkin tartışmadır. Bilindiği üzere GDPR’ın yürürlüğe girmesi ile birlikte “tek durak noktası” (one-stop-shop) ilkesi esas alınmaktadır. Bu çerçevede sınır ötesi faaliyet gösteren işletmeler, kural olarak şirketin Avrupa Birliği sınırları içerisindeki ana işletmesinin bulunduğu yerdeki veri koruma otoritesine tabi olacaktır. Böylece veri sorumluları tek bir otorite ile muhatap olacak ve bürokratik yükleri de azaltılacaktır. Dolayısıyla başka bir AB ülkesinin sınırları içerisinde meydana gelen uyuşmazlıklarda “işbirliği prosedürü” gereğince yetkili otoriteye bilgilendirme yapılarak işbirliği yürütülecek ve gerekirse uyuşmazlık yetkili otorite tarafından ele alınacaktır. Dolayısıyla söz konusu olayda şikayetin, Google’ın Avrupa’daki işletmesinin bulunduğu yer olan İrlanda’daki otorite tarafından ele alınıp alınmaması gerektiği tartışılmıştır. Ancak CNIL yürüttüğü görüşmeler ve yaptığı değerlendirmeler neticesinde GDPR kapsamında şirketin ana işletmesinin bulunduğu yerin İrlanda olarak kabul edilemeyeceğine karar vermiştir. Zira CNIL’e göre ana işletmenin İrlanda’da yerleşik olduğunun kabulü için şikayete konu olan gizlilik politikası kapsamındaki faaliyetler hakkında karar alma yetkisinin buradaki işletmeye ait olması gerekmektedir. Ancak somut olayda İrlanda’daki işletmenin karar verme yetkisine sahip olduğuna ilişkin olgulara rastlanmamıştır. Üstelik bazı kişisel verilerin işlenmesine ilişkin yetkilerin ana kuruluş Google LLC tarafından Google Ireland Limited’e devredilmesine dair sürecin 31 Ocak 2019 tarihinde sonuçlandırılacağı belirtilmiştir. Bu sebeple uyuşmazlık esnasında “tek durak noktası” (one-stop-shop) ilkesinin uygulanamayacağını ve işbirliği prosedürünün mevcut olmadığı ifade edilmiştir. Bu sebeple CNIL kendisini bu uyuşmazlığı değerlendirmeye yetkili görmüş ve Google hakkında idari para cezası uygulamıştır.
Sonuç olarak, Google kararı kişisel verilerin hukuka uygun olarak işlenmesi için gerekli kriterleri taşıyan bir aydınlatma yükümlülüğü ve rızanın mevcut olması gerektiğini önemle hatırlatmaktadır. Özellikle rızaya dayalı veri işleme faaliyetleri bakımından ilgili kişilerden alınacak basit bir onaydan ziyade çok daha ayrıntılı değerlendirmelerin yapılması gerektiği bir kez daha vurgulanmıştır. Nitekim kişiselleştirilmiş reklamlar kapsamındaki veri işleme faaliyetleri için gerekli rıza prosedürünün Google tarafından hatalı olarak kurgulandığı özellikle belirtilmiştir. Bununla birlikte özellikle sınır ötesi faaliyet gösteren şirketler bakımından, AB sınırları içerisindeki faaliyetleri yürüten ana işletmelerinin GDPR yükümlülükleri konusunda karar alma yetkisine sahip olmadıkları takdirde “tek durak noktası” (one-stop-shop) düzenlemesinden yararlanamayacakları belirtilmiştir. Böylece bu şirketler bakımından benzer konularda Avrupa’daki farklı otoriteler tarafından cezalandırılma riski de söz konusu olacaktır.