KVK Kurulu’ndan Başvuru ve Şikayet Sürelerine ilişkin Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 13 Şubat 2019 tarihinde duyurulan, 24.01.2019 tarih ve 2019/9 sayılı karar (“Karar”) ile birlikte, başvuru ve şikâyet sürelerine ilişkin bazı soru işaretlerini gidermek adına başvuru sürelerine ilişkin çeşitli ihtimallere açıklık getirilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veriye temas edenlerin yükümlülükleri ile birlikte verisi işlenen ilgili kişilerin hakları da düzenlenmiştir. Kanun, ilgili kişiler tarafından yürütülecek veri sorumlularına başvuru ve Kurul nezdinde şikâyet imkânlarını 13 ve 14. Maddelerinde yer verdiği hükümler ile açıklamaktadır.

Kanun’un ilgili maddeleri uyarınca veri sorumlusu, kendisine gelen ilgili kişi başvurularını en geç otuz gün içerisinde yanıtlamakla yükümlüdür. Başvurunun reddedilmesi, hiç yanıt verilmemesi veya verilen yanıtın ilgili kişi tarafından yeterli bulunmaması hâllerinde; ilgili kişinin Kurul nezdinde şikâyet sunma hakkı saklıdır. Ancak Kanun metninde de açıkça belirtildiği üzere, şikâyet öncesinde, veri sorumlusuna başvuru müessesesinin tüketilmesi gerekmektedir.

13 Şubat 2019 tarihinde Kişisel Verileri Koruma Kurumu’nun internet sitesi üzerinden yayınlanan Karar’da veri sorumlusuna başvuru ve başvuruya verilen yanıta istinaden Kurul’a başvurma sürelerinin yorumlanmasına ilişkin endişelerin giderilmesi adına başvuru süreleri üç farklı ihtimal üzerinde durularak açıklanmıştır.

Veri Sorumlusunun Yanıtı Şikayet Süresi
Başvuruya 30 gün içinde yanıt verilmesi Veri sorumlusu tarafından verilen yanıttan itibaren 30 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya hiç yanıt verilmemesi Veri sorumlusuna yapılan başvurudan itibaren 60 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya 30 günlük süre tamamlandıktan sonra yanıt verilmesi Veri sorumlusuna yapılan başvurudan itibaren, 30 günlük cevap verme süresi beklendikten sonra 30 gün içerisinde (başvuru tarihinden itibaren 60 gün) içerisinde şikâyette bulunulması gerekir.

Karar’da 60 gün olarak açıklanan sürelerin, başvuru sürecinin doğası gereği, başvuruyu izleyen otuz günlük sürenin sonunda başlayacak olan, yeni bir otuz günlük süre olarak yorumlanması yerinde olacaktır. Zira aslında veri sorumlusuna başvuruya yanıt hakkı tanıyan ilk otuz günlük dönemde (yanıt alınmadığı müddetçe) herhangi bir şekilde şikâyet prosedürünü işletmek mümkün değildir.

Son olarak hatırlatmak gerekir ki, her ne kadar Karar’da yer alan açıklamalar veri sorumlusu tarafından başvuruya yanıt verilmesini esas alsa da mevzuatta da açıkça belirtildiği üzere, ilgili kişinin, yanıtın tatmin edici olmaması hâlinde,  veri sorumlusunun yanıtından itibaren 30 gün içerisinde Kurul nezdinde şikâyet yoluna başvurma haklı saklı kalacaktır.

GDPR İHLALİ İLE GOOGLE’A 50 MİLYON € CEZA!

Fransız Veri Koruma Otoritesi Ulusal Bilişim ve Özgürlük Komisyonu (“CNIL”), 21 Ocak 2019 tarihinde kamuoyuna açıkladığı karar ile birlikte, Google LLC’nin (“Google”), şeffaflık ilkesinin ve aydınlatma yükümlülüğünü Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) gerekliliklerine uygun olarak getirmediği ve belirli faaliyetler için alınan rızanın geçersiz olduğu gerekçeleri ile 50 Milyon € değerinde ceza ödemesine hükmetti.

GDPR’ın yürürlüğe girdiği 25 Mayıs 2018’i izleyen hafta içerisinde, pek çok küresel ve sektör lideri firma gibi, Google’ın da faaliyetlerinin veri koruma mevzuatına uygunluğu şikâyet konusu olmuştu. Bilişim ve özgürlük gibi kamuya hitap eden alanlarda faaliyet gösteren sivil toplum örgütleri olan None Of Your Business (“NOYB”) ve La Quadrature du Net (“LQDN”), CNIL’e şikâyetlerini sunmuşlardı. Şikâyetler temel olarak, Google’ın hüküm ve koşullarını kabul etmeksizin, Android telefonları kullanmanın mümkün olmadığı ve Google tarafından gerçekleştirilen davranış analizi ve kişiye özgü reklam faaliyetleri için hukuki bir dayanak bulunmadığı iddiaları etrafında şekillenmekteydi. CNIL tarafından yürütülen soruşturma ve alınan karar, hem sektörlerinde hâkim konumda olan şirketlere uygulanacak cezalar için içtihat oluşturması açısından; hem de veri koruma otoritelerinin küresel firmalar nezdinde gerçekleştirecekleri soruşturmalara ilişkin yetki değerlendirmesi açısından büyük önem taşıyor.

I. VERİ KORUMA OTORİTELERİNİN YETKİSİ 

Google şikâyetlerle ilgili bildirimlerin kendisine ulaşmasını takiben, GDPR uyarınca bu tür şikâyetlerin ‘veri sorumlusu kuruluşun genel merkezinin bulunduğu ülke’ veri koruma otoritesi tarafından yetkili olarak değerlendirilmesi gerektiğini savunmuş ve anılan şikâyetlerin İrlanda veri koruma otoritesine aktarılmasını talep etmişti.

Bu talebe dayanak olarak, (i) Google Ireland Ltd.’nin (“Google İrlanda”), Google’ın AB içerisindeki ana kuruluşu olması, (ii) finansal süreçler ve denetim süreçleri gibi pek çok idari sürecin Google İrlanda tarafından yürütülmesi, (iii) AB’de yer alan müşteriler ile kurulan reklam hizmetleri sözleşmelerinin Google İrlanda tüzel kişiliği altında yapılması, (iv) Google İrlanda altında yalnızca gizlilik sorunları ile ilgilenmek üzere istihdam edilmiş bir ekip bulunması ve (v) Google’ın küresel iştirakleri tarafından, Google bünyesinde AB vatandaşlarının verilerinin işlenmesini içeren süreçler için Google İrlanda’nın veri sorumlusu olarak konumlandırılmış ve kabul edilmiş olması gösterilmişti.

Google’ın itirazları CNIL tarafından, GDPR’ın 4.maddesinin 16.fıkrası ve 36 sayılı gerekçesi ile gerekçelendirilmek suretiyle reddedilmişti. Ret kararı temelde Google İrlanda’nın, Google’ın kişisel veri işleme faaliyetleri üzerinde karar alma yetkisi olmadığı ve ana kararlarda rol aldığına ilişkin yeterli dayanak bulunamadığı nedeniyle verilmişti. Ana kuruluş değerlendirmesinden bağımsız olarak, şikâyetlerin temel kaynaklarından birisi olan Android yazılımının Google tarafından geliştirilmiş olması, Google’ın aydınlatma metinlerinde Google İrlanda’nın karar verici iştirak olarak belirtilmemesi de talebin reddinde büyük rol oynadı. Netice olarak CNIL yetkili otorite olduğunu tespit edip ihlallerin içeriğini değerlendirdi.

II. TESPİT EDİLEN İHLALLER

CNIL’in esasa ilişkin değerlendirmelerinde, Google’ın cezaya tabi olduğuna karar verdiği bulgular şu şekilde:

  • Aydınlatmanın Erişilebilir Olmaması: CNIL, ilgili kişilerin Google’ın aydınlatma metni niteliği taşıyan bilgilendirmelerinde metinlerinde, yanıtların farklı dokümanlarda yer aldığını ve kullanıcıların pek çok farklı doküman arasında yanıt aramak durumunda kaldığını belirtmiştir.
  • Bilgilendirmenin Yeterince Açık ve Saf Olmaması: Veri koruma mevzuatlarında genel ölçüt, bilgilendirmenin konuya hâkim olmayan kişiler tarafından da anlaşılabilmesi olarak belirlenmektedir. Google uygulamaları özelinde ise ilgili kişilerin ‘verilerim neden toplanıyor?’ sorusuna yanıt almakta zorlandığı belirtilmiştir.
  • ‘Şemsiye’ Aydınlatma: CNIL’in kararını incelediğimizde, Google’ın doktrinde ‘şemsiye aydınlatma’ olarak tabir edilen genel bir hataya düştüğü görülmektedir. Google verileri pek çok farklı hukukî dayanakla işlemektedir. Bu, hukuki açıdan yapılabilir kabul edilse de, ilgili kişilerin, işleme faaliyetleri baz alınarak farklı hukukî dayanakları bilmesi gerektiği vurgulanmaktadır. Şikâyet konularından birisi olan kişiye özgü reklam faaliyetleri esasen rızaya tabi bir veri işleme faaliyeti olmasına karşın, Google’ın bilgilendirme dokümanlarında bu faaliyetin rızaya tabi olduğu ise açıkça belirtilmemiştir.
  • Bilgilendirmenin Zamanında Yapılmaması: Kural olarak verinin toplanması esnasında, ilgili kişinin bilgilendirilmesi esastır. Ancak CNIL Android ürünlerinin kullanımında, kullanıcıların bilgilendirme metnine erişebilmek için profil oluşturması (‘verinin toplanması’) gerektiğini tespit etmiştir. Bu durumda ise sürecin mevcut modelinde aslında bilgilendirme veri toplandıktan sonra yapılmış olmaktadır.
  • Rızanın Hukuka Uygun Olarak Alınamaması: Veri koruma mevzuatında tanımlanan rızanın unsurları arasında, ilgili kişinin bilgilendirilmiş olması da yer almaktadır. Yukarıda da açıklamış olduğumuz üzere, her ne kadar kişiye özgü reklam faaliyeti ilgili kişilerin rızası esas alınarak gerçekleştirilse de, bilgilendirme ile ilgili tespit edilen hususlar aslında rızayı da hukukî olarak sağlıksız hale getirmektedir. Zira rıza veren kişi aslında, yeterince bilgilendirilmemiş olmaktadır. CNIL bu hususu bir adım daha ileri taşıyıp ve kişiye özgü reklamcılık için rıza alınan bölümde Google’ın Youtube, Google Plus, Google Maps, Playstore gibi uygulamalardan söz etmediğini, ancak bu platformlardan toplanan çevrimiçi verilerin de işlendiğini tespit etmektedir. Yine mevzuata ve Avrupa’da oturmuş veri koruma içtihadına bakıldığında rızanın ‘aktif’ bir hareketle alınması gerektiği görülmektedir. CNIL, Google tarafından bu veri işleme faaliyetine ilişkin rıza alınması esnasında onay verilen ‘kutucuğun’ otomatik olarak işaretlenmiş olduğunu belirtmektedir. Bu kapsamda aslında kişi aktif bir hareketine ihtiyaç duyulmaksızın rıza vermiş olmaktadır.

III. CEZANIN BELİRLENMESİ

Türkiye’de, Nisan 2018 itibariyle tam anlamıyla yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında öngörülen cezaların ne şekilde uygulanacağı tartışma konusudur. Türk veri koruma otoritesi tarafından bazı veri sorumlularına cezaî işlem uygulanmış olmasına karşın cezaların nasıl belirleneceği, cezanın şahsiliği ilkesinin ne ölçüde uygulanacağı gibi tartışmalar, gerek hukukî platformlarda gerek akademide henüz net bir yanıt bulamamış durumdadır.

Buna karşın CNIL, 50 milyon €’luk cezayı nasıl belirlediği konusunda bizleri biraz olsun aydınlatmaktadır. Yapılan açıklamaya göre (i) aydınlatma yükümlülüğünün ve şeffaflığın kişisel verilerin korunması üzerindeki önemi, (ii) ihlâlin tek seferlik değil, geçmişten gelen ve bugün dahi sürmekte olan bir ihlâl olması, (iii) hakları ihlâl edilen kullanıcıların (ilgili kişilerin) sayılarının fazlalığı ve (iv) Android telefonların soruşturmanın yürütüldüğü yer olan Fransa’daki yaygınlığı ceza miktarının belirlenmesinde göz önüne alınmıştır.

Her ne kadar 50 milyon €, kamuoyunda yarattığı yankı ile birlikte ciddi bir meblağ olarak değerlendirilse de, GDPR kapsamında anılan ihlaller için öngörülen ceza miktarı, grup şirketlerin global cirosunun %4’üne kadar çıkabilmektedir. 50 milyon € ise Google’ın yıllık cirosunun yalnızca %0,05’ine tekabül etmektedir.

Karara ilişkin şikâyet sürecini başlatmış olan sivil toplum örgütleri ise, cezanın yeterli olmadığını, Google’ın çok daha fazla ilkeyi ihlâl ettiğini iddia etmeyi sürdürürken, Google CNIL tarafından verilen kararı Fransız Danıştayı’nın önüne taşımıştır.