Avrupa Adalet Divanı, Avrupa’nın her yerinde yıllardır insanların başına bela olan izin spam pop-up’ları hakkında bir karar verdi. Mahkeme, dijital reklam sektörü derneği olan IAB Avrupa’nın, GDPR kapsamında “Şeffaflık ve Rıza Çerçevesi” (TCF) izin sisteminden sorumlu olduğuna karar verdi. Google, Amazon, Microsoft, TikTok ve diğer yüzlerce izleme tabanlı çevrimiçi reklamcılık şirketinin kullandığı TCF Penceresi hakkındaki karar İrlanda Sivil Özgürlükler Konseyinin şikayetinin ardından geldi.
IAB Avrupa’nın, TCF ve “Gerçek Zamanlı Teklif Verme” (RTB) çevrimiçi reklam sistemi bağlamında kişisel verileri işlerken birden fazla GDPR ihlali gerçekleştirdiği kaydediliyor. TCF, Avrupa’daki milyonlarca insanın kişisel verilerinin Çin ve Rusya’daki şirketler de dahil olmak üzere her yerdeki şirketlere ayrım gözetmeksizin yayınlanmasını yanlış bir şekilde meşrulaştırmak için kullanıldı. Bu, yılda 71 trilyon kez gerçekleşiyor.
IAB Avrupa, GDPR kapsamında bir “veri denetleyicisi” olarak sorumlu olmadığını, çünkü iddiaya göre yalnızca verilerin nasıl kullanılması gerektiğine ilişkin kuralları belirlediğini, ancak verileri kendisi işlemediğini savundu. Mahkeme bunu reddetti ve TCF’nin yönetim organı olarak IAB Avrupa’nın GDPR kapsamında bir “veri denetleyicisi” olduğunu doğruladı.
Mahkemenin kararı, Avrupa’da insanların kişisel verilerinin korunmasının ne kadar geniş olduğunu gösteriyor. Çevrimiçi izleme ve reklam endüstrisi, interneti kullanan herkes hakkında son derece hassas verileri gizlice topluyor ve yayınlıyor. Bugünkü karar sektörü köklü bir değişime zorlayacak. Google, Amazon, Microsoft ve benzeri firmalar artık kullandıkları verilerin kanunlarca korunmadığını iddia ederek sorumluluklarından kaçamayacak.
ICCL Enforce’tan Dr Johnny Ryan şöyle dedi :
“Avrupa genelindeki insanlar, GDPR’nin neredeyse altı yıl önce tanıtılmasından bu yana, neredeyse her web sitesinde ve uygulamada her gün sahte “rıza” açılır pencereleriyle boğuşuyor. IAB Avrupa bu maskaralığın sorumluluğundan kaçmaya çalıştı. Ancak Avrupa Adalet Divanı bunu düzeltti. Bu karar yalnızca tarihin en büyük spam operasyonunu sona erdirmeyecek. Bu, çevrimiçi takip tabanlı reklamcılık sektörüne ölümcül bir yara açacak. ”
Arka plan
Mahkeme tarafından yanıtlanan sorular, İrlanda Sivil Özgürlükler Konseyi’nin (ICCL) bir birimi olan Enforce tarafından koordine edilen şikayet sahipleri tarafından soruldu. Şikayetçiler arasında şunlar yer alıyor:
- Enforce’tan Dr Johnny Ryan ,
- Panoptykon Vakfı’ndan Katarzyna Szymielewicz (Polonya),
- Stichting Bits of Freedom (Hollanda),
- Ligue des Droits Humains (Belçika),
- Dr Jef Ausloos ve Dr Pierre Dewitte .
Karar, Dr Ryan’ın 2018’de başlattığı çevrimiçi reklamcılık “Gerçek Zamanlı Teklif Verme” (RTB) sisteminin güvensizliğiyle ilgili şikayetlerin ardından geldi.
2 Şubat 2022’de Belçika Veri Koruma Kurumu, diğer 27 AB veri koruma yetkilisiyle mutabakata vararak “TCF” rıza spam sisteminin yasa dışı olduğuna karar verdi. Bu karar, tüm çevrimiçi reklamcılığın Avrupa’daki herkesin verilerini yıllardır hukuka aykırı bir şekilde işlediği anlamına geliyordu.
Ancak bu durum Brüksel Pazarlar Mahkemesi’nde temyiz edildi. İlk olarak, IAB Avrupa kararın esasına itiraz etti ve şikayetçiler kararın uygulanmasının bir kısmına itiraz etti. Şikayetçilerin önerdiği sorular, Eylül 2023’te Brüksel Piyasası Mahkemesi tarafından Avrupa Adalet Divanı’na iletildi. Brüksel Pazarlar Mahkemesi artık IAB Avrupa’nın gerçekten sorumlu olduğuna ve ilgili verilerin GDPR tarafından korunduğuna dair kesin bir karara varabilecek.