Kişisel Verilerin Korunması Alanında Yol Gösterici Gelişmeler: İngiltere Ses Kaydı ve Diğer Biyometrik Verilerin İşlenmesi Konusunda GDPR’ı Nasıl Uyguluyor?

Regülasyon ekosisteminin önemli unsurlarından olan kişisel verilerin korunması, 6698 sayılı Kanun’un yürürlüğe girmesi ile ülkemizdeki uygulama hayatına da hızlı bir giriş yaptı. Gelişen teknolojiler karşısında dijitalleşen dünyanın en değerli varlığı olan “kişisel veriler”; bir taraftan müşteri davranışları ve kullanıcı tercihlerini gözlemleyerek kişiselleştirilmiş hizmetlerin önünü açarken bir taraftan da veri sahiplerinin mahremiyetlerini hacir altına alıyor. İnovsyon destekli yaratıcı yıkım süreçlerinin karşı karşıya getirdiği bu menfaatler arasındaki dengeye hukuk zerk etmek ise yine yasamaya ve düzenleyici otoritelere düşüyor.

Bu kapsamda, veri koruma kurallarına uluslar üstü bir standart kazandırmayı amaçlayan General Data Protection Regulation (“GDPR”), 2016 yılından itibaren mehaz Avrupa uygulamalarını düzenliyor. Ülkemiz veri koruma mevzuatına da doğrudan şekil vermiş olan GDPR’ın Avrupa’daki uygulama trendleri ise veri koruma alanındaki karar insicamını yeni yeni oluşturan tüm ülkeler tarafından yakından takip ediliyor ve referans alınıyor.

İşte bu bağlamda, GDPR temelli bir veri koruma uygulamasına sahip olan Birleşik Krallık cephesinde biyometrik verilerin işlenmesine kılavuzluk edecek bir gelişme yaşandı. Avrupa veri koruma içtihadı üzerinde önemli etkisi olan Birleşik Krallık Veri Koruma Otoritesi[1] (“ICO”), İngiltere Gelir ve Gümrük İdaresi’nin[2] (“HMRC”) telefon destek hattını arayan kullanıcıların ses kaydı verilerinin işlenerek otomatik bir ses tanıma (Voice ID) sistemi kurulmasını incelemiş ve açık rıza alınmadan işlenen yaklaşık beş milyon kullanıcının verisinin silinmesi yönünde karar vermiştir.

Bildiğiniz üzere, kişisel verilerin işitsel bir izdüşümü olan ses kayıtları, gerek ülkemizde gerekse Avrupa veri koruma otoritelerince biyometrik veriler kategorisinde değerlendiriliyor ve özel verilerin işlenmesi rejimine tabi tutuluyor. Bu kapsamda, veri koruma ağının işleyişine yön veren İngiltere’deki güncel uygulama trendleri ile bunların ülkemizdeki yansımalarına dair değerlendirmeler de önem kazanıyor.

İnceleme konusu uygulama

HMRC, 2017 yılında telefon destek hattının ara yüzü içerisine yeni bir otomasyon sistemi ekledi. Kullanıcıların, uzun güvenlik prosedürlerini tamamlayarak kimliklerini teyit etmek için vakit kaybetmelerine engel olmak isteyen bu sistem, kullanıcıların ses kayıtlarını alarak bir sonraki aramalarında onları seslerinden tanımlamak üzere işletiliyor. Kullanıcıların bir HMRC danışmanı ile konuşmaya başlamalarına kadar geçen süreyi önemli ölçüde kısalttığı değerlendirilen sistemin, tüm bu etkinlik kazanımlarını sağlayabilmesi için ise öncelikle veri koruma kuralları ile tam uyumluluğu sağlaması gerekiyor.

İşte HMRC’nin sisteminin karşılaştığı problem de tam burada ortaya çıkıyor. İleri teknolojik imkanlar karşısında bireylerin mahremiyetlerini ve medeni özgürlüklerini korumayı hedefleyen bir sivil haklar organizasyonu olan Big Brother Watch[3] tarafından hazırlanan bir şikayet üzerine başlatılan inceleme sonucunda, vergi otoritesinin bahse konu sisteminin GDPR ile uyumlu olmadığı anlaşılıyor. Gerçekten de, kar amacı gütmeyen bir organizasyon olarak özellikle devlet destekli mahremiyet ihlallerini engellemek amacıyla kampanyalar yürüten ve kamu davalarına katılan Big Brother Watch; Haziran 2018’de şikâyet konusu eylemlerin detaylarını açıklamış[4] ve kullanıcılara verilerini ses tanıma sistemine aktarmak dışında bir seçenek sunulmadığını belirterek sistemin kullanıcıların rızası hilafına uygulamaya koyulduğunu iddia etmişti.

Birleşik Krallık Veri Koruma Otoritesi’nin kararı

Big Brother Watch şikâyeti üzerine konuyu inceleme altına alan ICO ise HMRC tarafından kurulan sistemin bir biyometrik veri türü olan ses kayıtlarının işlenmesi üzerine inşa edildiğini değerlendirerek bu tür verilerin özel nitelikli veriler grubuna dâhil olduğunu ve işlemeler için kullanıcılardan açık rıza alınması gerektiğini belirtiyor. İnceleme konusu uygulamayı da bu perspektiften değerlendiren İngiliz veri koruma otoritesi, kullanıcılardan ses tanıma sistemine dâhil edilmeleri aşamasında tatminkâr bir “açık rıza” alınmadığını ve kullanıcılara sistemden çıkabilme opsiyonunun (opt-out) izah edilmediğini değerlendiriyor[5]. Özel nitelikli biyometrik verilerin, kullanıcıların açık rızası olmaksızın işlenmesinin veri koruma kurallarına aykırı olduğuna kanaat getiren ICO, bu sebeple HMRC tarafından mevzuata aykırı şekilde toplanarak işlenen tüm verilerin silinmesine karar veriyor[6].

Veri koruma otoritesinin kararına saygı duyduğunu belirten HMRC ise bir yandan mevzuata aykırı şekilde sistemine dâhil ettiği yaklaşık beş milyon kullanıcının verisini imha ederken bir yandan da ses tanıma sisteminin devamlılığını sağlamak adına kullanıcılardan rıza alma sürecini yeniden gözden geçiriyor. GDPR döneminde biyometrik verilere ilişkin ilk defa böyle bir yaptırım uygulanmasını öngören karar, biyometrik verilerin, ileri bir koruma gerektiren özel nitelikli verilerden olduğunu sarih biçimde tanımlayan ilk karar olması ile de dikkat çekiyor[7].

Veri koruma uygulamasının en kapsamlı “veri imha etme” vakıasını ortaya çıkartan ICO kararı, gerek biyometrik verilerin işlenmesi konusundaki hassas sinir uçlarına işaret etmek açısından gerekse veri koruma kurallarının vergi idaresi gibi önde gelen kamu kuruluşlarına da tavizsiz uygulanacak olduğunu göstermesi açısından ülkemiz uygulamasına da yol gösterecek önemli iç görüler içeriyor. Bu itibarla, bankalar, GSM operatörleri ve hastaneler başta olmak üzere telefon destek hatlarını yaygın kullanan teşebbüsler açısından ICO’nun kararından ders çıkartılabilecek noktaların daha iyi anlaşılması adına, ses kaydı kullanımlarının biyometrik veri vasfını incelememiz de faydalı olacaktır.

Ses kaydının biyometrik veri olup olmadığını nasıl anlarım

Ses tanıma sistemleri, bireyin kendisine has ses şablonunu ve konuşma ritmini analiz ederek parmak izi benzeri bir biyometrik tanıma ve kimlik tespit etme işlevi taşıyor. Sisteme işlenen bir ses kaydının vokal karakterini çözümlemek için yüzlerce farklı davranışsal faktörü inceleyen ses tanıma sistemleri, konuşan kişinin ağız yapısı, konuşma hızı ve vurgu şemalarını da bu değerlendirmeye dâhil ediyor.

Sesleri ve ritimleri sayısal bir şablon üzerine oturtan bu sistemler, her birey için farklı bir işitsel kimlik oluşturup kişinin hasta olduğu veya sesinin değiştiği durumlarda dahi tanımlama yapabilecek şekilde dizayn ediliyor.

Öte yandan belirtmek gerekir ki, “biyometrik ses tanıma sistemleri” ile “otomatik ses algılama sistemlerini” birbirleri ile karıştırmamak gerekiyor. Biyometrik ses tanıma sistemlerinin aksine, otomatik ses algılama sistemleri yalnızca sisteme yöneltilen kelimeleri algılayarak bu kelimeler üzerinden talimatlar alıp yönlendirmeler veriyor fakat kullanıcının kimliğini tanımlamak üzere herhangi bir işlem gerçekleştirmiyor. Veri koruma sorumluluklarının belirlenmesinde önem arz eden bu farklılık kapsamında; ses verisini kişileri tanımlamak için kullanan biyometrik sistemler için kullanıcının açık rızası gerekirken herhangi bir tanımlama işlemi içermeyen sesli komut sistemleri açısından bu yükümlülük gündeme gelmiyor.

Karara ilişkin tepkiler

İnovatif dijital hizmetlerin hayatlarımızı kolaylaştırdığını” belirten ICO Yardımcı Komiseri Steeve Woods, konuya ilişkin hazırladığı değerlendirme yazısında “bu gelişmelerin bedelinin bireylerin temel mahremiyet haklarının ihlali olmaması gerektiğini” belirtiyor[8].

ICO Komiseri Elizabeth Denham ise HMRC’nin “ses tanıma sistemini uygularken veri koruma prensipleri hakkında hiç denecek kadar az değerlendirme yaptığını” belirterek “bilgilerin toplanması esnasında kullanıcılarla kurum arasında belirgin bir güç dengesizliği olduğunu” ekliyor “kullanıcıların sisteme girmeyi nasıl reddedeceklerinin veya reddetmeleri halinde herhangi bir olumsuzluk yaşamayacaklarının açıklanmadığına” da vurgu yapıyor[9]. Konunun veri koruma ve hesap verebilirlik açısından önemli olduğunu da belirten ICO Komiseri, “HMRC nezdinde bir denetim gerçekleştirerek karara uyulup uyulmadığını takip edebileceklerine” de dikkat çekiyor[10]

Şikâyeti gerçekleştirerek inceleme sürecini tetikleyen Big Brother Watch organizasyonunun Direktörü Silkie Carlo ise konuya ilişkin yaptığı açıklamada “kararın biyometrik verilerin toplanmasına ilişkin emsal niteliğinde olduğunu” değerlendiriyor[11]. HMRC İcra Kurulu Başkanı Sir Jon Thompson ise konuya ilişkin yazdığı mektup ile bahse konu verileri silmeye başladıklarını belirterek “ses tanıma sisteminin kullanıcılar arasında popüler olduğunu ve kullanıcı verilerinin de daha etkin korunmasını sağladığını” ve yürürlükte kalmasından memnun olduklarını belirtiyor[12].

Sonuç

ICO’nun kararı biyometrik verilerin işlenmesi alanında birtakım ilklere sahne oluyor. Birleşik Krallık’taki en kapsamlı veri imhasına karar veren veri koruma otoritesi, bu kararı ile GDPR temelli uygulamalarında ilk defa “ses kayıtlarını” ve dolayısıyla da “biyometrik verileri” daha ileri bir koruma rejimine tabi özel nitelikli verilerin içerisinde değerlendiren bir içtihat oluşturuyor. Bu kapsamda belirtmek gerekir ki, ülkemiz veri koruma mevzuatı kapsamında da özel nitelikli veri olarak değerlendirilen biyometrik verilerin işlenmesi için kullanıcıların açık rızalarının alınması gerekiyor.

Açık rızanın yokluğunda toplanan verilerin; veriyi toplayan kurumun bir kamu kurumu olmasına veya toplanan verilerin hacminin ne kadar büyük olduğuna bakılmaksızın silinmesine karar verilebileceğini ve bu durumun takip eden denetim ve yerinde incelemeler ile temin edilebileceğini gözler önüne seren karar, bu tür verilerin işlenmesi ile iştigal eden şirketler açısından da bir uyarı niteliği taşıyor. Açık rızanın nasıl algılanması ve neleri ihtiva etmesi gerektiği konusunda da ipuçları veren ICO kararı; rızası aranan kullanıcılara, bahse konu sistemden çıkma hakları (opt-put) olduğunun ve bu hakkı icra etmeleri durumunda kendilerine sağlanan hizmetlerin olumsuz etkilenmeyeceğinin açıkça ve pro-aktif olarak belirtilmesi gerektiğini öğütlerken sisteme dâhil olmanın mecburi olduğu yönünde bir izlenim uyandırmaktan da kaçınılması gerektiğini gösteriyor.

Türk veri koruma rejimi tarafından da yakından takip edilen GDPR uygulamaları hakkında faydalı iç görüler sağlayan bu içtihat; özellikle bankalar, GSM operatörleri, internet servis sağlayıcıları ve hastaneler gibi kapsamlı telefon destek hizmetleri sunan ve ses kaydı verileri ile muhatap olan teşebbüsler açısından önem arz ediyor.

Bu itibarla belirtmek gerekir ki, ses kaydı veya parmak izi gibi biyometrik verilerin kişileri tanımlamak için kullanılmasını içeren uygulamaları hayata geçirecek kurumların, öncelikle kullanıcılara yüksek standartta bilgi veren ve seçeneklerini tanımlayan bir açık rıza prosedürü hazırlamaları gerekiyor. Aynı kapsamda, bu tür bir açık rıza almadan bahse konu verileri işlemeye başlamış olan kuruluşların ise bu verileri imha etmeleri veya kullanıcılardan açıklanan şekilde bir açık rıza almaları önem kazanıyor. Benzer bir durumda, Kişisel Verileri Koruma Kurumu tarafından nasıl bir aksiyon alınacağı konusu henüz keşfedilmeyi beklerken İngiliz veri koruma otoritesinin GDPR uygulamalarının, büyük ölçüde yol gösterici olabileceği değerlendiriyoruz.


[1] The Information Commissioner’s Office.

[2] Her Majesty’s Revenue and Customs.

[3] https://bigbrotherwatch.org.uk/about/who-we-are/

[4] https://bigbrotherwatch.org.uk/2018/06/hmrc/

[5] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records

[6] https://ico.org.uk/action-weve-taken/enforcement/hmrc/

[7] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[8] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[9] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[10] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[11] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records

[12] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/799688/Letter_from_Sir_Jonathan_Thompson_to_HMRC_Data_Protection_Officer_-_3_May_2019.pdf

Avrupa’da İhbar Sistemi: Komisyon’a Bırakılacak Anonim Bir Mesajla Hakkınızda Soruşturma Açılabilir

Rekabet hukuku ihlalleri nasıl ortaya çıkarılır? Rekabet otoriteleri tarafından test edilen fiyat modelleri ile mi, yoksa teşebbüslere ansızın  yapılan şafak baskınlarıyla mı? Her ne kadar rekabet otoriteleri herhangi bir pazarda rekabet ihlali olup olmadığı hakkında kendiliğinden inceleme yürütebilseler de rekabet ihlallerinin ortaya çıkarılmasında rekabet otoriteleri tarafından halen kullanılan en önemli iki araç; pişmanlık programları ve ihbarlar.

Pişmanlık programları halihazırda Avrupa’da kartellerin tespitinde büyük faydalar sağladı. Öte yandan, ihbarcıların rekabet ihlallerini Avrupa Komisyonu’na (“Komisyon”) bildirmeleri ise elbette zorlu bir süreç. Teşebbüs içerisinde tespit edilebilme ihtimali ya da kendi kimliğini Komisyon’dan gizleme ihtiyacı, çoğu zaman potansiyel ihbarcıların ihlali bildirme niyetlerinden vazgeçmelerine neden olabiliyor. Bu durum Komisyon’un da dikkatini çekmiş olacak ki geçtiğimiz yılın Mart ayında Komisyon tarafından yeni bir ihbar sistemi tanıtıldı. Peki, nedir bu yeni sistem ve nasıl işliyor?

Avrupa’nın rekabet hukuku ihlallerinin ortaya çıkarılması için öngördüğü yeni ihbar sisteminin en önemli özelliği, ihbarcıların anonimliğini koruması. Bu sayede ihbar motivasyonunun önünde duran en büyük engel, yani tespit edilme korkusu bertaraf edilmiş oluyor.

Özel olarak tasarlanmış şifreli mesajlaşma sistemi, iki yönlü iletişimi sağlamanın yanında ihbarcıların anonimliğini sağlıyor. Sistem Komisyon’un kontrolünde değil, harici bir servis sağlayıcı, aracı sıfatıyla sistemin yönetimini sağlıyor. İhbarcının, Komisyon’un edinmesini istediği mesajı sisteme yüklemesinin ardından, servis sağlayıcı ilgili mesajdaki tüm tanımlayıcı verileri temizliyor ve ardından mesajı Komisyon’a iletiyor. Tanımlayıcı verilerin sistem üzerinde temizlenmesi sayesinde ihbarcının kimliğinin tespit edilebilmesinin önüne geçiliyor.

Yeni ihbarcılık sisteminin bir diğer önemli özelliği, ihbarcının tercihine bağlı olarak Komisyon’un ihbar mesajına cevap verebilmesi. Yani ihbarcı ilk mesajını gönderirken, daha ayrıntılı bilgi gerekmesi halinde Komisyon’un kendisi ile iletişime geçmesini istiyorsa bu yönde tercih yapabiliyor. Bu karşılıklı mesajlaşabilme imkanı da yine sistem üzerinde yürütüldüğünden ihbarcı Komisyon’un sorularını cevaplamaya devam ederken anonimliğini de korumuş oluyor.

Avrupa Komisyonu’nun rekabetten sorumlu üyesi Margrethe Vestager de yeni sistemi tanıtırken; “Eğer yanlış olduğunu düşündüğünüz ticari uygulamalar varsa, bunların düzeltilmesi için yardım edebilirsiniz, gelin rekabet ihlallerini gün yüzüne çıkarmamızda bize yardımcı olun” demişti. Anonim ihbarcılık sisteminin rekabet hukuku ihlallerinin ortaya çıkarılmasında pişmanlık programları kadar etkili olup olmayacağını ise ilerleyen zamanda göreceğiz.

Gemi batarken dümende kim vardı?: Avrupa Birliği’nden hakim şirket sorumluluğunu genişleten bir yaklaşım

Avrupa Komisyonu’nun yüksek voltajlı kablo üreticilerine yönelik yürüttüğü soruşturma sonucu tesis ettiği ceza, Lüksemburg’daki Genel Mahkeme’nin 12 Temmuz 2018 tarihinde verdiği karar ile onandı. Hatırlayacağınız üzere, 2 Nisan 2014 tarihinde Komisyon, Asya ve Avrupa kökenli kablo üreticisi teşebbüsler hakkında başlattığı kartel soruşturmasını tamamlamış ve teşebbüslere toplam 302 milyon Euro tutarında ceza kesmişti.

Genel Mahkeme’nin kararı, kesilen cezayı onamakla kalmıyor ve ihlale taraf şirketlerden Prisman’ın o dönemki yatırımcılarından olan Goldman Sachs’ı da cezaya ortak eden Komisyon’un bu tutumunu destekliyor. Yatırım bankalarının, portföylerinde yer alan şirketlerin dahil olduğu rekabet ihlalleri üzerinde belirleyici etkisi olabileceğine ilişkin değerlendirmeler yapan Komisyon, soruşturma sonucunda Goldman Sach’a 37,3 milyon Euro ceza kesmişti.

Yatırım fonları ve bankaların, yatırım yaptıkları portföy şirketleri açısından hakim şirket sorumluluğunu genişleten bu yaklaşımın, Genel Mahkeme tarafından onanması ise rekabet hukuku çevrelerinde ilgi uyandırdı. İhlalin içeriğine ve Goldman Sachs’ın belirleyici etkisine ilişkin tespitleri aşağıda değerlendiriyoruz.

Bildiğiniz üzere Komisyon, aralarında Prysmian, Nexans, Frukawa, Sumitomo, Hithachi ve ABB’nin de bulunduğu kablo üreticilerine, neredeyse küresel düzeyde bir kartel ağı kurmaları nedeniyle soruşturma başlatmıştı. Komisyon’un bulgularına göre kartel, Avrupa, Japonya ve Güney Kore menşeli üreticiler arasında, oldukça geniş bir coğrafi alanda uygulanmış ve 1999 yılını takip eden 10 yıl boyunca yürürlüğünü sürdürmüştü. Toprak altı ve deniz altı yüksek voltaj kabloları alanında etki gösteren oluşumun, pazar paylaşımı ve müşteri paylaşımı yoluyla belirli bölgelerdeki projeler açısından rekabeti kısıtladığı ve bu yolla küresel düzlemde rekabetçi süreçlere etki ettiği de yapılan değerlendirmeler arasında yer alıyordu. Komisyon’un, 2014’te verdiği ve Genel Mahkeme önündeki temyize konu olan ceza kararı ile sonuçlanan soruşturma, gerek ihlalin süresi ve etki gösterdiği coğrafi alan gerekse kartel üyelerinin kendi bölgelerinin en temel üretim şirketleri olması açısından önem kazanmaktaydı.

Kurumsal yatırımcılar tarafından ilgiyle beklenen mahkeme kararının ise, finans dünyası ve bankalar açısından kablo sektörünün akıbetinden daha önemli bir anlamı bulunuyor. 2014 yılında verdiği karar ile sıra dışı bir adım atan Komisyon, yatırım bankası Goldman Sachs’ın kartel üyelerinden Prysmian’daki yatırımının kendisine belirleyici etki sağladığını savunmuş ve Goldman Sachs’a ihlalden dolayı hakim şirket sorumluluğu atfetmişti. 12 Temmuzda verilen kararın, Komisyon’un bu tutumu karşısında Genel Mahkeme’nin değerlendirmesini bekleyen kurumsal yatırımcılar açısından da uyarı niteliğinde olduğu değerlendiriliyor.

Genel Mahkeme’ye sunduğu açıklamalarda, Prysmian’daki katılımının yalnızca yatırım amaçlı olduğunu belirten Goldman Sachs, bu kapsamda bir hakim şirketten ziyade sade bir yatırımcı olarak değerlendirilmesi gerektiğini belirtti. İhlalin gerçekleştiği dönemde, kendi yönetimindeki GS Capital Partners isimli fon üzerinden Prysmian’da pay sahibi olan Goldman Sachs’ın, bu pay sahipliğinin yalnızca finansal yatırım amaçlı olduğu yönündeki savunması ise Genel Mahkeme tarafından reddedildi. İhlalin gerçekleştiği dönemde Prysmian’ın kendisinin etkisi ve yönlendirmesi haricinde hareket edebildiğini savunan yatırım bankasının bu yönde sunduğu argümanları da yetersiz gören Genel Mahkeme, Komisyon’un 37,3 milyon Euro tutarındaki cezasının arkasında durdu.

Avrupa Birliği’nin geçmiş kararlarını incelediğimizde, kartel soruşturmalarında yalnızca ihlale karışan yerel iştirak ile yetinilmediğini ve ihlal esnasında bu iştirakin direksiyonunda bulunan hakim şirketin de cezanın kapsamına dahil edilebildiğini görebiliriz. Finansal yatırımcıların, ihlal üzerinde belirleyici etki sergilediklerinden bahisle kartel soruşturmalarına dahil edilmesi ise, hakim şirket sorumluluğu kavramına uzak olmayan Avrupa uygulaması açısından dahi sık karşılaşılan bir durum değil.

Genel Mahkeme’nin kararındaki değerlendirmeler, Avrupa Birliği Adalet Divanı’nın (ABAD) son yıllarda benimsediği uygulama ile paralellik gösteriyor. Komisyon’un, kolin klorür üreticisi kimyasal şirketler aleyhine ceza kesmesi üzerine görülen temyiz dosyasında ABAD, rekabet ihlallerinde hakim şirketin sorumluluğu konusunda önemli değerlendirmeler yapmıştı. Akzo Nobel’in temyiz başvurusu kapsamında konuyu inceleyen ABAD, grubun bünyesinde yer alan beş firmanın ihlale taraf olduğunu ve Akzo Nobel’in, grubun hakim şirketi olarak, bunların hepsinde (dolaylı veya doğrudan) %100 pay sahibi olduğunu tespit etmişti. Daha sonra belirleyici etki konusunu ele alan ABAD, ihlale karışan iştirakin paylarının tamamına sahip olan hakim şirketin, bu iştirakin faaliyetleri üzerinde belirleyici etkiye sahip olacağına karar vermişti. İhlale taraf iştirakleri üzerindeki hakimiyetinin yalnızca pazardaki ticari faaliyetleri ile sınırlı olduğunu belirten Akzo Nobel ise, bu hakimiyetin ticari faaliyetlerin ötesine geçecek şekilde genişletilmesinin “kusursuz sorumluluk” anlamına geleceğini ve Avrupa rekabet hukuku prensiplerine aykırı olacağını savunmuştu. Bu savunma karşısında ABAD, tarafların aynı ekonomik bütünlük içerisinde yer aldığını ve hakim şirketin, ihlale doğrudan dahil olmasa da, belirleyici etki gösterme kabiliyeti dolayısıyla sorumlu tutulabileceğinden bahisle burada “kusursuz sorumluluk” olmadığını belirtmişti.

ABAD’ın bu tutumu, Komisyon’un, özellikle kartel soruşturmalarında, iştirakin tek sahibi konumunda olan hakim şirketin, bu iştirak üzerinde belirleyici etki sahibi olduğu karinesiyle hareket etmesinin önünü açmıştı. Akzo Nobel’de ortaya konan bu prensibi takip eden Genel Mahkeme ise konuya ilişkin yaptığı değerlendirmede; Goldman Sachs’ın Prysmian’ın oy haklarının tamamını kullanabilmesi dolayısıyla belirleyici etkiye sahip olduğunu ve bu etkinin, Prysmian’ın tek pay sahibi olsaydı elde edeceği etki ile aynı nitelikte olduğunu belirtti.

Akzo Nobel’den farklı olarak iştirakin paylarının tamamına sahip olmayan Goldman Sachs’ın, yine de Prysmian’ın oy haklarının tamamını kullanabildiğini ve pay sahipliğinin de %80 – %90 arasında değişen oranlarda olduğunu belirten Genel Mahkeme, ABAD’ın Akzo Nobel açısıdan aradığı kriterlerin burada da sağlandığına kanaat getirdi.

Goldman Sachs’ın, Prysmian üzerindeki belirleyici etkisini tespit ederken değerlendirilen tek unsur pay oranı ve oy haklarını kullanabilme imkanı da değildi. Genel Mahkeme, belirleyici etkiyi değerlendirirken; Goldman Sachs’ın Prysmian’ın yönetim kuruluna üye atama haklarını, bu üyelerin Prysmian’ın stratejik komitelerindeki pozisyonunu ve etkileri ile yatırım bankasının hissedarları toplantıya çağırma imkanını da göz önünde bulunduran kapsamlı bir değerlendirme yapmış.

Öte yandan, tek pay sahibi konumundaki hakim şirketin belirleyici etkiye sahip olacağı yönündeki karinenin, teşebbüsler açısından savunma olanaklarını da kısıtlayabilecek nitelikte olduğu da karara getirilen eleştiriler arasında. Zira bahse konu karine karşısında ispat yükü üzerine kalan teşebbüs tarafı, kendisini belirleyici etkinin yokluğunu kanıtlamaya çalışırken bulabiliyor. Bir olgunun yokluğunu kanıtlamanın, varlığını kanıtlamaya nazaran önemli ölçüde daha zor olduğunu düşündüğümüzde, teşebbüs tarafının buradaki ispat faaliyetine bir sıfır geride başladığını söylemek de yanlış olmayacaktır.

Doğal konumları gereği iştiraklerinin hareketlerinden haberdar olmak ve imkan bulduğu ölçüde onların davranışlarını kontrol etmek eğiliminde olan hakim şirketlerin bu tutumu, özellikle stratejik yatırımcılar açısından olağan karşılanabilir. Bunun sebebi ise, stratejik yatırımcıların sektöre dair iç görülerinin olması ve yatırım yaptıkları şirketler ile sürdürülebilir bir iştirak ilişkisi kurmayı hedeflemeleri. Yatırım bankaları ve sermaye fonları açısından ise durum her zaman bu şekilde gelişmiyor. Yatırım firmaları, farklı sektörlerden şirketlere çeşitli yatırımlar yaparak bir yatırım portföyü oluşturmakta ve bu portföy şirketlerini belirli bir süre elde tutup kara geçirdikten sonra yeniden stratejik alıcıların ellerine bırakabilmektedir. Genel Mahkeme’nin Goldman Sachs kararında aldığı pozisyonun ise yatırım firmalarının, yalnızca yatırımcı olarak katıldıkları şirketler üzerinde belirleyici etkileri bulunmadığı yönündeki savunmalarının önünü kesebileceği de değerlendiriliyor.

Yatırım firmalarının, iştiraklerinin stratejileri belirlenirken dümende olup olmadıkları ve muhtemel bir ihlal üzerinde -destekleyici veya engelleyici- bir etki gösterip gösteremeyeceklerini ise her olay kapsamında ayrıca değerlendirmek gerekiyor. Nitekim, Akzo Nobel kararında ABAD’da benzer bir değerlendirme yapmış ve iştirakin hakim şirketten bağımsız hareket edebilme yetisinin, ekonomik, yapısal ve hukuki özellikler kapsamında olay bazında değerlendirilmesi gerektiğini belirterek bu değerlendirme için gereken unsurların bir liste olarak önceden belirlenemeyeceğini vurgulamıştır.

Henüz gerekçeli kararı yayınlanmayan bu değerlendirmeler ile Genel Mahkeme, ABAD’ın 2009 yılında Akzo Nobel kararı ile temellerini attığı prensipleri takip ederken, kurumsal yatırımcıların belirleyici etki gösterebildikleri ölçüde rekabet ihlallerinden sorumlu tutulabilecekleri yaklaşımını da teyit ediyor. Buna ek olarak, ABAD’ın 2009’da belirlediği prensipleri bir adım ileriye taşıyan Genel Mahkeme, iştirak üzerinde %100 pay sahibi olunmadığı durumlarda dahi; oy haklarının tamamını kullanabilmek ve yönetim kurulu ile icrai komitelere etki edebilmek unsurları üzerinden belirleyici etki karinesinin işletilebileceğini de gözler önüne seriyor. Kurumsal yatırımcıları, rekabet hassasiyetlerini artırmak zorunda bırakacak bu tutum ihlale taraf şirketlerin arkasındaki kontrol yapısının peşine düşen soruşturmacıların da elini kuvvetlendirerek özellikle kartel soruşturmalarında daha yayılmacı bir tutum izleyebilmelerinin önünü açacağa benziyor.

Tüm görüşmelere dikkat! diye boşuna demiyoruz

Her rekabet hukukçusunun iki lafından biri “aman konuşmalarınıza dikkat edin!” olur. Neden mi? Her türlü mecradan yapılabilecek her türlü görüşme yarın karşımıza delil olarak çıkabilir de ondan!

Peki neler delil olabilir?

Süregelen uygulamaya baktığımızda, uzmanların yerinde incelemeler esnasında bilgisayarlar veya laptoplardaki belgeleri, e-postaları, ofiste masa üstündeki veya dolaplardaki belgeleri incelediklerini, sözlü ve yazılı bilgi taleplerinde bulunduklarını görüyoruz. Otel kayıtları, uçak rezervasyonları, restoran fişleri gibi belgeler de delil olarak kullanılabiliyor.

Telefon görüşmeleri bakımından ise yeni yeni uygulamanın geliştiğini görüyoruz.

Delil standardına yönelik bir konu yakın zamanda pişmanlık başvurusu kapsamında sunulan telefon konuşmalarının delil olarak esas alındığı kurumsal kredi pazarında faaliyet gösteren bankalar arası bilgi değişimine ilişkin kararda gündeme gelmişti. Rekabet Kurumu, söz konusu incelemesinde “serbest delil sisteminin geçerli olduğu” ve “kararı etkileyebilecek her türlü bilgi ve delilin” sunulabileceği değerlendirmesini yaparak, iletişimde rıza unsurunun bulunduğu, telefon görüşmelerinin delil olarak kullanılabileceği sonuca varmıştı.

Benzer bir yaklaşımın Avrupa Komisyonu ve Avrupa Genel Mahkemesi’nin kararlarında da benimsendiği gözlemleniyor. Örneğin; Komisyon’un 2013 yılında karides satıcılarına yönelik yürüttüğü bir kartel incelemesinde, taraflardan biri olan Kok Seafood, kartele taraf başka bir teşebbüs olan Heiploeg ile olan konuşmalarını gizli bir şekilde kaydetmiş ve rekabet uzmanları da yerinde incelemelerde bahse konu konuşmalara rastlamış ve soruşturma kapsamında değerlendirmek üzere el koymuştu. Bunun üzerine ise Heiploeg söz konusu konuşmaların hukuki olarak geçersiz sayıldığını ve dolayısıyla inceleme kapsamında kullanılmaması gerektiğini belirtmişti. Ancak Avrupa Komisyonu gibi Genel Mahkeme de söz konusu konuşmaların hukuka uygun bir şekilde yerinde inceleme esnasında elde edildiğini, ihlali gösteren başka delillerin de mevcut olduğunu ve ilgili tarafa konuşmaları dinleme ve konuşmalara yönelik savunma haklarını kullanma fırsatının tanındığını belirterek konuşmaların soruşturma kapsamında kullanılmasının uygun olduğu sonucuna varmıştı.

Telefon görüşmeleri bakımından rekabet hukukçularının sürekli karşı karşıya kaldığı sorulardan biri de “Kurum uzmanları WhatsApp konuşmalarımı inceleyebilir mi?” sorusu.

Bu zamana kadar Rekabet Kurumu’nun WhatsApp konuşmalarını esas aldığını görmemiştik ancak Kurul’un 29.03.2018 tarihli Ortodonti Kararı ile bu soruya bir nebze de olsa açıklık getirdiğini görüyoruz. Zira kararda yer alan “bir şirket çalışanının bilgisayarından elde edilen ve şirket GSM hattı üzerinden yapılan […] tarihli WhatsApp görüşmelerinde ve müşterisi ile arasında gerçekleşen […] tarihli WhatsApp yazışmalarındaifadelerinden WhatsApp konuşmalarının bir kopyasının alındığını anlıyoruz.

Ancak burada ek açıklamaya muhtaç iki nokta daha dikkatimizi çekiyor:

  1. Şirket GSM hattı üzerinden yapılan WhatsApp görüşmeleri nasıl bilgisayardan elde edildi? Sanıyoruz ki telefonun bilgisayara bağlanması suretiyle verilerin paylaşımına izin verilmiş olabilir ya da tarayıcı üzerinden çalışan http://web.whatsapp.com uygulaması bilgisayarda WhatsApp görüşmelerini depoluyor olabilir.
  2. WhatsApp yazışmalarından bazıları telefondan ya da bilgisayar dışı başka mecralardan mı elde edildi? Nitekim yukarıda da yer verilen bazı açıklamalarda WhatsApp konuşmalarının bilgisayardan elde edildiğine dair ifadeler yer almıyor. Bu noktada, eğer telefondan elde edildiyse şirket telefonu mu yoksa çalışanın şahsi telefonundaki görüşmeler mi incelendi? sorusu da aklımıza geliyor.

Peki daha önce WhatsApp görüşmelerini inceleyen başka rekabet otoriteleri oldu mu?

Bizden çok uzakta olmayan Akdeniz’li komşumuz İspanya’da da 2013 yılında telefon konuşmaları yanı sıra WhatsApp konuşmaları delil olarak esas alınmıştı. Nitekim İspanya Yüksek Mahkemesi bir kararında İspanya Rekabet Otoritesi (Comisión Nacional de los Mercados y la Competencia) tarafından İspanyol’lara özgü turron tatlısının imalatını yapan Almendra y Miel firmasında gerçekleştirilen yerinde incelemede çalışanların WhatsApp mesajlarının alınmasının ve delil olarak kullanılmasının hukuki olarak geçerli olup olmadığını incelemişti. Sonuç olarak ise İspanya Yüksek Mahkemesi (Audiencia Nacional), rekabet uzmanların yetkilerinin fiziksel ve elektronik kayıtlarını incelemeye izin verdiğini ve bu yetkinin cep telefonlarını da kapsadığını belirtmişti. Söz konusu yazışmalar incelemeye konu pazar paylaşımı davranışlarına ilişkin olarak esaslı delil olarak ele alınmıştı. Bunun üzerine, çimento sektöründe gerçekleşen bir kartele ilişkin yakın tarihli bir kararda da toplantılar, e-postalar ve faks üzerinden gerçekleşen bilgi değişimi yanı sıra WhatsApp üzerinden gerçekleştirilen bilgi değişimleri inceleme bakımından dikkate alınmıştı.

WhatsApp’in Uzak Doğu’daki muadili WeChat ise 2016 yılında Çin Rekabet Otoritesi’nin (National Development and Reform Commission) radarına girmiş ve söz konusu rekabet otoritesi Shaanxi bölgesindeki araç muayenesi fiyatlarının tespitine yönelik kartele ilişkin planların WeChat üzerinden konuşulduğunu belirtmişti.

2017 yılında ise Hong Kong Rekabet Otoritesi (The Competition Commission) tarafından IT server sistemine yönelik ihalelerde danışıklı hareket ettiği ortaya çıkan Hong Kong Young Women’s Christian Association ve söz konusu dernek bünyesindeki beş teşebbüsün bilgi değişiminde bulunmak için WhatsApp’ı kullandığı keşfedilmişti.

ABD’de ise bileklik gibi ürünlerin satışını gerçekleştiren Zaappaaz, Promotions, Wrist-Band, Customlanyard gibi e-ticaret şirketlerinin fiyat tespitinde bulunulduğuna dair 2017 yılında gerçekleştirilen incelemede WhatsApp yanı sıra telefon mesajları ve Skype, Facebook gibi mecraların da iletişim için kullanıldığı dikkat çekmişti.

Dolayısıyla, Rekabet Kurumu’nun da WhatsApp incelemelerine başlaması şaşırtıcı değil. İlerleyen günlerde bu incelemelerin nasıl gerçekleştirildiği konusunda daha detaylı bilgi edinebiliriz, ancak şimdilik (ve her zamanki gibi): Aman konuşmalarınıza dikkat edin!”.