Bu makalenin İngilizce aslını GDPR ruling puts at risk Meta’s personalised ads business linkinden okuyabilirsiniz.
Facebook, Instagram ve WhatsApp’taki kişiselleştirilmiş reklamlar, kullanıcı tarafından açıkça ve tartışılmaz bir şekilde yetkilendirilmemişse yasa dışı kabul edilir. Meta, kullanıcıları hizmetten dışlama cezası altında, kişiselleştirilmiş reklamcılığa yönelik muameleyi kabul etmeye zorlayamaz. Bunun yerine, kullanıcılara, işlemeye açıkça izin vermedikçe, kişiselleştirilmiş reklamcılık amacıyla takip edilmemek için varsayılan seçenek olarak kabul edilmelidir. Meta’nın artık sözleşme koşullarını düzenlemesi gerekiyor, 3 ay süresi var.
4 Ocak 2023’te İrlanda gizlilik otoritesi (DPC), Avrupa Veri Koruma Kurulu’nun (EDPB) en son 5 Aralık’ta aldığı ve uzun ve inişli çıkışlı bir yolculuğun sonunda Mark Schrems’in, kişiselleştirilmiş reklamcılık konusunda GDPR’yi ihlal ettiği gerekçesi ile Meta/Facebook aleyhine açtığı davadaki kararını onayladığını duyurdu.
Bu nedenle İrlanda makamı, EDPB’nin Meta’nın kullanıcıları önceden izinleri olmadan kişiselleştirilmiş reklamlara girmeye zorlayamayacağı kararına, zorla da olsa uydu. Meta her zaman, GDPR’nin rıza yükümlülüğünü aşmak için hizmet koşullarına ad hoc bir madde eklemenin ve dolayısıyla sözleşmenin ifası için gerekliyse verilerin işlenmesinin yasal olduğu GDPR’nin 6.1b maddesine başvurmanın yeterli olduğuna inanıyordu. Sanki hedefli reklamcılık ve sosyal ağların simbiyoz içinde yaşadığını ve ücretsiz hizmet hikayesini gizlediğini söyler gibi.
25 Mayıs 2018’de, GDPR’nin yürürlüğe girmesiyle birlikte, Schrems’in kuruluşu Noyb, Avusturya, Belçika ve Almanya da dahil olmak üzere çeşitli Avrupa ülkelerinde Meta hakkında şikayette bulundu. Bununla birlikte, diğer büyük OTT’ler gibi Meta da Avrupa genel merkezini adaya yerleştirdiğinden, vakalar İrlanda DPC yetkilisi tarafından yönetildi. Bu çok önemli bir konu olduğundan ve çok sayıda Avrupa pazarını etkilediğinden, kararın diğer düzenleyici makamlarla tartışılması gerekiyordu; karara varamama durumunda, GDPR’nin 65. Maddesi uyarınca konunun Avrupa ajansı EDPB tarafından çözülmesi gerekiyordu. Olan da zaten buydu.
İrlandalı yetkililer, bunun rızanın doğru bir şekilde toplanmasından ziyade bir şeffaflık meselesi olduğunu düşünerek Meta ile aynı fikirde olma eğilimindeydi. Bu pozisyon doğrulanmış olsaydı, Meta Gizlilik Politikasının bazı kısımlarını muhtemelen bir para cezasıyla değiştirmeye zorlayarak dava kapatılabilirdi. Meta için bu bir zafer olurdu çünkü iş modelinin temelleri bozulmadan kalacaktı. Ancak bu yaklaşım, diğer veri koruma yetkilileri tarafından paylaşılmadı ve nihayetinde, DPC’nin davayı kapatmak için izlemesi gereken yasal kuralları kendi kararıyla tanımlayan EDPB tarafından reddedildi.
EDPB’ye göre, kişiselleştirilmiş reklam için onay, sosyal ağ hizmetinin maddelerinin genel kabulüne dahil edilemez, ancak belirgin ve etkili bir şekilde ifade edilmelidir. Meta’nın artık sözleşme koşullarını gözden geçirmek ve daha genel olarak hedeflenen reklam modelini yeniden düşünmek için 3 ayı var. Bununla birlikte, EDPB’nin kararının aynı zamanda “içeriğe dayalı” reklamları, yani ziyaret ettiğimiz sayfalarla tutarlı bir şekilde aldığımız reklamı yasa dışı kılmadığına dikkat edilmelidir: örneğin, bir grup motosiklet tutkunu arasında gezindiğimde ve aynı temalı reklamlar görünmesi sakıncalı değil. Ancak motosiklet sayfasından ayrılırsam ve aynı reklamları almaya devam edersem, bu artık içeriğe dayalı reklamcılık değil, hedeflenmiş reklamdır.
EDPB, 5 Aralık’ta aldığı kararla Meta’ya yaptırım uygulama kriterlerini de tanımlamıştı ve aslında DPC, toplam 390 milyon Euro’yu bulan iki (Belçika ve Avusturya vakalarına ilişkin) yaptırımlar uygulamıştı. Bu, DPC’nin basın açıklamasından öğrenilmişti. İrlanda’nın kararı ise henüz kamuoyuna açıklanmadı. Almanya ile ilgili üçüncü bir dava halen derdesttir.
DPC sık sık Big Tech’e karşı çok zayıf olmakla suçlanmıştır, çünkü İrlanda’nın vergi nedenleriyle onu seçen ve ayrıca mahremiyet açısından da yardımsever muameleyi takdir edecek şirketlerle iyi ilişkiler sürdürmek isteyeceği varsayılmaktadır. Aslında, Meta’nın kişiselleştirilmiş reklam sorunu, daha önce de belirtildiği gibi, Meta’nın konumunu desteklemeye istekli görünen, ancak EDPB’nin nihai kararı göz önüne alındığında başarılı olamayan İrlandalı düzenleyici ile 4 yıldır devam ediyordu. Aktivist Schrems, DPC’yi Meta’nın yanında yer almakla suçladı :
“Süreç boyunca Meta, İrlanda DPC’si ile yaptığı on gizli toplantıya güvendi ve, DPC Meta’nın bu “baypass”ı kullanmasına izin verdi. Daha sonra DPC’nin ilgili EDPB Yönergelerini Meta’nın çıkarına etkilemeye çalıştığı bile ortaya çıktı ”.
Meta’nın, İrlanda düzenleyicilerinin kararına, GDPR’ın 6.1 maddesi çerçevesinde İrlanda mahkemeleri önünde itiraz edeceği kesindir. Bu madde bir sosyal ağa katılmanın kişiselleştirilmiş reklamcılığın kabul edilmesini içerdiğini varsaymanın meşru olup olmadığı tartışılacaktır. EDPB’nin kesin kararı göz önüne alındığında, başarı şansı zayıf; ancak, çeşitli yargılama seviyeleri sırasında sorunun yorumlayıcı bir karar için Avrupa Adalet Divanı’nın değerlendirmesine sunulması göz ardı edilemez.
Öte yandan Meta, EDPB’nin kararına itiraz edemez, çünkü bir ay önce Avrupa Adalet Divanı şirketlerin kendilerine değil ulusal düzenleyicilere (bu davada DPC) başvurabileceğine karar verdi.
Not : Meta, kendi hukuki pozisyonlarının doğru olduğuna inanmaya devam edeceklerini duyurdu.