DPC’nin kararı, Meta’nın yeterli gizlilik önlemleri olmaksızın Avrupa kullanıcılarının verilerini ABD sunucularına hukuka aykırı bir şekilde aktarmasını konu alıyor. Avrupa Adalet Divanı’nın (CJEU) AB ve ABD arasındaki veri transferlerine ilişkin geçmişte vermiş olduğu açık bir karar bulunmasına rağmen; Meta’nın, Avrupa Komisyonu tarafından sunulan güncellenmiş Standart Sözleşme Maddelerini kullanarak bu aktarımlara devam ettiği görülüyor. Bununla birlikte, DPC’nin kararı, Meta’nın AB’deki kullanıcılarının kişisel verilerini yeterince koruyamadığını ortaya koymakla birlikte, sorumluluğu sadece Meta’ya atamak yerine ABD ve AB yasaları arasındaki farklılıklara da dikkat çekiyor.
DPC’nin para cezasına ilişkin kararı, EDPB’nin bağlayıcı kararını dikkate alarak ihlalin doğası, ciddiyeti ve süresi, etkilenen kullanıcıların sayısı ve maruz kaldıkları zarar gibi faktörleri gözetiyor. Bu noktada, para cezasının rekor tutarını değerlendirirken Meta’nın Avrupa’da 309 milyon günlük aktif kullanıcısı olduğunu göz önünde bulundurmak gerekiyor.
Karardaki diğer bir önemli bir nokta ise, Meta’nın Standart Sözleşme Maddeleri’ne dayanarak devam etmekte olduğu veri aktarımlarının gizlilik hükümleri açısından yeterli olup olmadığı oldu. EDPB’nin kararı, DPC’nin değerlendirmesine atıfta bulunarak, Meta’nın uluslararası veri transferleri için kullandığı 2021 Standart Sözleşme Maddeleri’nin ABD mevzuatı tarafından sağlanan yetersiz düzeydeki koruma açısından bir iyileştirme sağlamadığını ifade ediyor ve bu eksikliğin giderilmediği sonucuna varıyor. Meta ise, böyle önlemlere ihtiyaç olmadığı sonucuna varan bir savunma kapsamında esasen gerekli ek önlemler aldığını iddia ederek, ABD yasalarının ve uygulamalarının AB yasasına eşdeğer koruma sunduğunu savunmakta.
Bu bağlamda, DPC kararı kapsamında otoritesini kullanarak üç adet direktifte bulundu. Yukarıda bahse konu edilen para cezasına ek olarak; Meta, DPC’nin kararından itibaren gelecekteki ABD’ye yapmakta olduğu kişisel veri aktarımlarını beş ay içinde askıya almak zorunda. Ayrıca, Meta’nın, DPC’nin kararından itibaren GDPR’yi ihlal eden AB/EEE kullanıcılarının kişisel verilerinin hukuka işlenmesini ve depolanmasını altı ay içinde durdurarak GDPR’ye uyması gerekiyor.
Avukat Burcu Gür