Facebook ve Instagram’ın ardından, İrlanda Veri Koruma Otoritesi şimdi de WhatsApp’ı kullanıcıların kişisel bilgilerinin geniş çapta işlenmesine yönelik izin hileleri nedeniyle cezalandırdı. Diğer iki platform operatörü gibi ABD’li Meta grubuna ait olan mesajlaşma sağlayıcısı nispeten hafif atlattı. Facebook’un 210 ve Instagram’a 180 milyon euro ödemesi gerekirken, eleştirmenler bunu zaten çok düşük görüyor, müfettişler ligdeki üçüncü şahsı sadece 5,5 milyon euro olarak tahmin ettiler.
Gizli İzin
Üç dava da Avusturyalı veri koruma aktivisti Max Schrems tarafından Noyb adlı kuruluşuyla birlikte başlatıldı. Bu, doğrudan Genel Veri Koruma Yönetmeliği’nin (GDPR) yürürlüğe girdiği Mayıs 2018’de kullanıcılardan istenen “zorunlu izin” ile ilgili şikayetleri iletti. WhatsApp durumunda, Noyb bir Alman kullanıcı adına hareket etti. Temel iddia, hizmetlerin kullanıcılar için bir hizmet olarak hedefli reklamcılık gibi veriye aç hizmetler sunması ve basitçe genel şartlar ve koşullara çevrimiçi izlemeye yönelik rıza oluşturmasıydı.
Veri Koruma Komisyonu (DPC), yeni kararıyla Meta’nın WhatsApp kullanıcılarını “hizmet iyileştirmeleri” ve “güvenlik özellikleri” için verilerinin kullanılmasına izin vermeye zorlayamayacağını doğruluyor. Ancak yetkili makam, kişisel bilgilerin “davranışsal reklamcılık, pazarlama amaçları ve üçüncü şahıslara istatistik sağlanması ve bağlı şirketlerle veri alışverişi” amacıyla işlenmesinin esas noktasını ele almamıştır. Ancak, üst organ olarak Avrupa Veri Koruma Kurulu (EDPB), DPC’den bu konuları da araştırmasını istemiştir.
WhatsApp’ın kendisi herhangi bir kişiselleştirilmiş reklam sunmaz. Ancak Noyb, sağlayıcının meta verileri Facebook ve Instagram’a ilettiğini ve bunların da orada hedefli reklamcılık için kullanıldığını varsayar. Bu bağlantı ve konum verileri, kullanıcıların iletişim davranışları ve sosyal yapıları hakkında kimin kimle, ne zaman iletişim kurduğu, uygulamayı kimin ne zaman, ne kadar süreyle ve ne sıklıkta kullandığı gibi pek çok bilgiyi ortaya çıkaracaktır. Değiştirilen içeriğin aksine, meta veriler şifrelenmemiştir.
İrlandalı yetkililerin eleştirisi
Schrems, DPC’nin 4,5 yıllık bir süreçten ve buna bağlı ek maliyetlerden sonra nasıl “davanın özünü görmezden gelmesine” hayret etti. Denetim makamı, görünüşe göre EDPB’nin bağlayıcı kararını da dikkate almamıştır. DPC’nin sonunda diğer AB makamlarıyla ve AB ve İrlanda yasalarının gereklilikleriyle tüm bağlarını koparacağı ve “nihayet ortaklara parmak basacağı” düşünülebilir. İrlanda makamı, tıpkı Facebook ve Instagram’da olduğu gibi, EDPB tarafından yaptırılan ek soruşturmaları reddediyor. Organın yetkilerini aşabileceği ölçüde, “Avrupa Adalet Divanı’nda iptal davası açmayı” uygun görüyor.
Bu arada WhatsApp, DPC’nin kararına itiraz etmeyi planlıyor. Şirket, “Hizmetin çalışma şeklinin hem teknik hem de yasal olarak uyumlu olduğuna kesinlikle inanıyoruz” dedi. Anlaşmazlıkta EDPB, İrlanda denetim otoritesinin karar taslağını üst üste altıncı kez bozdu ve sıkılaştırma çağrısında bulundu. DPC, uzun süredir AB genelinde GDPR uygulamasında bir “darboğaz” olarak görülüyor.
(mho)
Haberin Sonu
Gizli İzin
Üç dava da Avusturyalı veri koruma aktivisti Max Schrems tarafından Noyb adlı kuruluşuyla birlikte başlatıldı. Bu, doğrudan Genel Veri Koruma Yönetmeliği’nin (GDPR) yürürlüğe girdiği Mayıs 2018’de kullanıcılardan istenen “zorunlu izin” ile ilgili şikayetleri iletti. WhatsApp durumunda, Noyb bir Alman kullanıcı adına hareket etti. Temel iddia, hizmetlerin kullanıcılar için bir hizmet olarak hedefli reklamcılık gibi veriye aç hizmetler sunması ve basitçe genel şartlar ve koşullara çevrimiçi izlemeye yönelik rıza oluşturmasıydı.
Veri Koruma Komisyonu (DPC), yeni kararıyla Meta’nın WhatsApp kullanıcılarını “hizmet iyileştirmeleri” ve “güvenlik özellikleri” için verilerinin kullanılmasına izin vermeye zorlayamayacağını doğruluyor. Ancak yetkili makam, kişisel bilgilerin “davranışsal reklamcılık, pazarlama amaçları ve üçüncü şahıslara istatistik sağlanması ve bağlı şirketlerle veri alışverişi” amacıyla işlenmesinin esas noktasını ele almamıştır. Ancak, üst organ olarak Avrupa Veri Koruma Kurulu (EDPB), DPC’den bu konuları da araştırmasını istemiştir.
WhatsApp’ın kendisi herhangi bir kişiselleştirilmiş reklam sunmaz. Ancak Noyb, sağlayıcının meta verileri Facebook ve Instagram’a ilettiğini ve bunların da orada hedefli reklamcılık için kullanıldığını varsayar. Bu bağlantı ve konum verileri, kullanıcıların iletişim davranışları ve sosyal yapıları hakkında kimin kimle, ne zaman iletişim kurduğu, uygulamayı kimin ne zaman, ne kadar süreyle ve ne sıklıkta kullandığı gibi pek çok bilgiyi ortaya çıkaracaktır. Değiştirilen içeriğin aksine, meta veriler şifrelenmemiştir.
İrlandalı yetkililerin eleştirisi
Schrems, DPC’nin 4,5 yıllık bir süreçten ve buna bağlı ek maliyetlerden sonra nasıl “davanın özünü görmezden gelmesine” hayret etti. Denetim makamı, görünüşe göre EDPB’nin bağlayıcı kararını da dikkate almamıştır. DPC’nin sonunda diğer AB makamlarıyla ve AB ve İrlanda yasalarının gereklilikleriyle tüm bağlarını koparacağı ve “nihayet ortaklara parmak basacağı” düşünülebilir. İrlanda makamı, tıpkı Facebook ve Instagram’da olduğu gibi, EDPB tarafından yaptırılan ek soruşturmaları reddediyor. Organın yetkilerini aşabileceği ölçüde, “Avrupa Adalet Divanı’nda iptal davası açmayı” uygun görüyor.
Bu arada WhatsApp, DPC’nin kararına itiraz etmeyi planlıyor. Şirket, “Hizmetin çalışma şeklinin hem teknik hem de yasal olarak uyumlu olduğuna kesinlikle inanıyoruz” dedi. Anlaşmazlıkta EDPB, İrlanda denetim otoritesinin karar taslağını üst üste altıncı kez bozdu ve sıkılaştırma çağrısında bulundu. DPC, uzun süredir AB genelinde GDPR uygulamasında bir “darboğaz” olarak görülüyor.
(mho)
Haberin Sonu