Gündemde sıklıkla görüldüğü üzere; kişisel verilerin korunmasına ilişkin yetkili otorite yaptırımları, Türkiye’de olduğu gibi Avrupa Birliği’nde de yaygın şekilde devam ediyor. İrlanda Veri Koruma Otoritesi (DPC), Meta Platforms Ireland Limited (Meta) ve AB veri koruma düzenlemelerini ihlali konusunda tarihi bir karar açıkladı. Ağustos 2020’de başlayan ve Mayıs 2021’de yeniden başlayan soruşturma, Meta’nın Facebook hizmeti aracılığıyla AB/EEE’den ABD’ye kişisel verilerin transferi üzerine odaklandı. Denetim otoriteleri arasında uzlaşma sağlama girişimlerine rağmen, DPC söz konusu soruşturmanın çözümü için kendisinin bir üst mercii olan Avrupa Veri Koruma Kurulu’na (EDPB) başvurdu. EDPB 13 Nisan 2023’te bağlayıcı bir karar yayımladı ve bu soruşturma süreci DPC’nin 12 Mayıs 2023’te verdiği nihai kararıyla sonuçlandı. Sürecin sonunda, Meta’ya 1.3. milyar Amerikan Doları tutarındaki Avrupa Birliği’nin ana kişisel veri mevzuatı olan GDPR tarihindeki en yüksek ceza verildi.
DPC’nin kararı, Meta’nın yeterli gizlilik önlemleri olmaksızın Avrupa kullanıcılarının verilerini ABD sunucularına hukuka aykırı bir şekilde aktarmasını konu alıyor. Avrupa Adalet Divanı’nın (CJEU) AB ve ABD arasındaki veri transferlerine ilişkin geçmişte vermiş olduğu açık bir karar bulunmasına rağmen; Meta’nın, Avrupa Komisyonu tarafından sunulan güncellenmiş Standart Sözleşme Maddelerini kullanarak bu aktarımlara devam ettiği görülüyor. Bununla birlikte, DPC’nin kararı, Meta’nın AB’deki kullanıcılarının kişisel verilerini yeterince koruyamadığını ortaya koymakla birlikte, sorumluluğu sadece Meta’ya atamak yerine ABD ve AB yasaları arasındaki farklılıklara da dikkat çekiyor.
DPC’nin para cezasına ilişkin kararı, EDPB’nin bağlayıcı kararını dikkate alarak ihlalin doğası, ciddiyeti ve süresi, etkilenen kullanıcıların sayısı ve maruz kaldıkları zarar gibi faktörleri gözetiyor. Bu noktada, para cezasının rekor tutarını değerlendirirken Meta’nın Avrupa’da 309 milyon günlük aktif kullanıcısı olduğunu göz önünde bulundurmak gerekiyor.
Karardaki diğer bir önemli bir nokta ise, Meta’nın Standart Sözleşme Maddeleri’ne dayanarak devam etmekte olduğu veri aktarımlarının gizlilik hükümleri açısından yeterli olup olmadığı oldu. EDPB’nin kararı, DPC’nin değerlendirmesine atıfta bulunarak, Meta’nın uluslararası veri transferleri için kullandığı 2021 Standart Sözleşme Maddeleri’nin ABD mevzuatı tarafından sağlanan yetersiz düzeydeki koruma açısından bir iyileştirme sağlamadığını ifade ediyor ve bu eksikliğin giderilmediği sonucuna varıyor. Meta ise, böyle önlemlere ihtiyaç olmadığı sonucuna varan bir savunma kapsamında esasen gerekli ek önlemler aldığını iddia ederek, ABD yasalarının ve uygulamalarının AB yasasına eşdeğer koruma sunduğunu savunmakta.
Bu bağlamda, DPC kararı kapsamında otoritesini kullanarak üç adet direktifte bulundu. Yukarıda bahse konu edilen para cezasına ek olarak; Meta, DPC’nin kararından itibaren gelecekteki ABD’ye yapmakta olduğu kişisel veri aktarımlarını beş ay içinde askıya almak zorunda. Ayrıca, Meta’nın, DPC’nin kararından itibaren GDPR’yi ihlal eden AB/EEE kullanıcılarının kişisel verilerinin hukuka işlenmesini ve depolanmasını altı ay içinde durdurarak GDPR’ye uyması gerekiyor.
Avukat Burcu Gür
