Dünyada yaklaşık 3,6 milyar kullanıcıya sahip olan Meta Platforms Inc.’in (eski unvanı ile Facebook Inc., “Meta”)), özellikle sosyal ağlar, WhatsApp gibi numarasız iletişim hizmetleri ve çevrim içi reklamcılık pazarlarındaki küresel gücü artık herkes tarafından kabul ediliyor. Bundandır ki şirketin özellikle veri toplama alanındaki işlemleri, dünyanın dört bir yanında rekabet otoritelerinin radarına takılıyor.
Hatırlayacak olursanız, Meta 2020 yılının başında WhatsApp’ın veri toplama şartlarında değişikliğe gitmiş ve kullanıcılarını WhastApp’tan elde edilen verilerinin şirketin diğer hizmetleri için de kullanılmasına onay verilmesine zorlamıştı. Kullanıcılar onay vermediği takdirde ise Whatsapp kullanamıyorlardı. Bu durum pek çok rekabet otoritesinin olduğu gibi Rekabet Kurumu’nun (“Kurum”) da dikkatini çekmişti. Öncü davranan Kurum, Meta’nın veri toplama süreçlerine ilişkin soruşturma başlatmış ve geçici tedbir kararı alarak “ya kabul et, ya terk et” koşulu içeren güncellemeyi durdurmuştu[1]. Soruşturmaların hedefi haline gelen Meta ise güncellemenin yürürlük tarihini erteleme yoluna gitmişti[2]. Bahsettiğimiz soruşturmanın sözlü savunmasının yaklaştığı şu günlerde, biz de bu yazımız ile Meta’nın veri toplama politikalarına ilişkin olarak diğer ülkelerde yürütülen soruşturmaları masaya yatırdık.
Bundeskartellamt Kararı
Olaylar zincirini geriye doğru takip edersek süreç 2016 yılında Alman Rekabet Otoritesi’nin (“Bundeskartellamt”), Meta’nın veri toplama faaliyetlerini mercek altına aldığı bir soruşturma ile başlamıştı. Soruşturmanın temelinde ise WhatsApp, Oculus, Masquerade ve Instagram kullanıcılarının verileri ile Facebook.com kullanıcılarının ziyaret ettiği web siteleri veya üçüncü taraf mobil uygulamalarındaki verilen Facebook.com tarafından toplanması ve işlenmesi yer alıyordu.
Bundeskartellamt, soruşturma sonucunda Meta’nın AB Veri Koruma Düzenlemesini (General Data Protection Regulation, “GDPR”) ihlal ederek hakim durumunu kötüye kullandığına kanaat getirmiş ve Meta’nın farklı kaynaklardan elde edilen kullanıcı verisinin konsolide edilmesini içeren veri işleme faaliyetlerini yasaklamıştı. Temel olarak hizmet koşullarının kullanıcılara dayatılması ve bu şekilde toplanan verilerin, kullanıcının kontrolünde olmaksızın GDPR hükümlerine aykırı kullanılması hedefleniyordu. Zira Bundeskartellamt, bu davranışın “sömürücü işletme şartları” (exploitative business terms) oluşturduğuna kanaat getirmişti[3].
GDPR’a uyumun rekabet otoritelerinin yetki alanına girmediğini, şirketin kurulu olduğu ülkenin veri koruma otoritesinin görev alanında olduğunu iddia eden Facebook, verilen kararı Düsseldorf Yüksek Bölge Mahkemesi’nde temyiz ederek aslında oldukça ses getirecek bir sürecin ilk aşamasını da başlattı. Bölge Mahkemesi, veri koruma kapsamında rekabet otoritelerinin görev alanının belirlenmesi ve GDPR’ın verinin işlenmesi ve kullanıcıların açık rızasının alınmasına ilişkin bazı maddelerine açıklık getirilmesi talebiyle konuyu Avrupa Birliği Adalet Divanı’na (“ABAD”) taşıdı ve yakın zamanda ABAD Başsavcısı Athanasios Rantos’un görüşü yayımlandı.
Peki, Başsavcı Athanasios Rantos konu hakkında ne söylüyor?
Rantos’un görüşünü incelediğimizde esas itibariyle dört önemli nokta üzerinde durduğunu söyleyebiliriz. Başsavcı Rantos ilk olarak rekabet otoritelerinin GDPR’ın ihlal ettiği yönünde bir karar verme yetkisinin bulunmadığını ifade ederken otoritelerin kendi yetki alanları kapsamında mercek altına aldıkları ticari faaliyetlerin GDPR ile uyumluluğunu da dikkate alabileceğini belirtiyor. Zira, böyle bir değerlendirmenin ilgili faaliyetin rekabet kurallarının ihlaline vücut verip vermediğine ilişkin yapılacak analiz için de önemli bir gösterge olabileceğini vurguluyor. Bununla birlikte, Başsavcı Rantos rekabet otoritelerinin GDPR’ye uygunluğu, veri koruma otoritelerinin yetki alanına halel getirmeksizin, yalnızca istisnai bir soru olarak değerlendirebileceğine işaret ediyor. Rekabet otoritelerinin bu gibi durumlarda veri koruma otoritelerinin kararlarını, yürüttüğü soruşturmaları dikkate alması gerektiğini belirten Başsavcı konuya ilişkin olarak veri koruma otoritelerinden görüş alınması gerektiğine de ayrıca yer veriyor.
İkinci olarak, Başsavcı Rantos platformun hâkim durumda olmasının kullanıcıların kişisel verilerinin işlenmesine yönelik olarak verdikleri rızanın geçerliliğine ilişkin bir soru işareti uyandırmayacağına dikkat çekiyor. Ne var ki söz konusu durumun rızanın özgür bir şekilde verilip verilmediğinin değerlendirilmesinde göz önüne alınacağını belirtiyor. Bu kapsamda kullanıcıların rızasının olduğunu gösterme yükümlülüğü ise veri işleyicisi tarafında doğuyor.
Üçüncü olarak, soruşturmaya konu olan Meta’nın veri işleme faaliyetlerine değinen Başsavcı Rantos, söz konusu faaliyetlerin ya da bu faaliyet kapsamındaki bazı operasyonların Facebook’un sağladığı hizmet için esaslı bir girdi oluşturması koşuluyla veri sahibinin rızası olmadan da GDPR kapsamında işlenebileceğini belirtiyor. Bununla birlikte, Başsavcı Rantos görüşünün devamında içeriğin ve reklamların kişiselleştirilmesinin, Facebook grubunun hizmetlerinin sürekli ve kesintisiz kullanımının, ağ güvenliğinin veya ürünün iyileştirilmesinin kullanıcıya fayda sağlasa da Meta kullanımı için gerekli olmadığına kanaat getiriyor.
Son olarak, bahsi geçen verilerin GDPR kapsamında hassas kişisel veri olarak değerlendirileceğini belirten Başsavcı Rantos, bu tür verilerin kamuya açık hale getirilebilmesinin ancak veri sahibin açık rızası ile mümkün olabileceğini ve web sitelerini ziyaret etmek, uygulamaları kullanmak ve bunlara entegre edilmiş butonlara tıklamanın gibi davranışların açık rıza olarak değerlendirilmesinin mümkün olmadığına dikkat çekiyor.
Meta, otoritelerin gündeminde!
Bundeskartellamt’ın yanında pek çok otoritenin Meta’nın veri işleme politikasını mercek altına aldığını söyleyebiliriz. Bu kapsam da benzer dinamiklere sahip ancak farklı ülkelerde yürüyen soruşturmalara da bir bakalım….
Avrupa Komisyonu, Meta’nın sosyal ağlarını kullananlara ilişkin “dikkat çekici ölçüde” veri topladığını ve bu verilerin de şirket tarafından bazı tüketici gruplarını hedef alacak şekilde kullanılabildiğini ifade etmişti. Haziran 2021’de de Facebook Marketplace’in Meta’nın sosyal ağ platformuna bağlanıp bağlamadığını veMeta’nın sosyal ağ platformundaki reklam faaliyetleri kapsamında topladığı verileri, Facebook Marketplace’i rakiplerine göre avantajlı hale getirmek için kullanıp kullanmadığını inceleyen bir soruşturma başlattığını açıkladı.
Birleşik Krallık Rekabet Otoritesi tarafından yürütülen soruşturmada ise Meta’nın reklamcılık hizmetleri kapsamında elde ettiği veriler ile üyelik oluşturulması esnasında edinilen verilerin Facebook Marketplace ve Facebook Dating uygulamaları bakımından şirkete haksız bir avantaj sağlayıp sağlamadığı mercek altına alındı[4].
Benzer şekilde, İtalyan Rekabet Otoritesi (“AGCM”) de 2018 yılında Meta hakkında soruşturma başlatarak Facebook’un veri toplama faaliyetine ilişkin olarak doğru şekilde bilgilendirilmemesi ve üçüncü taraf web sitelerine, uygulamalara her erişimlerinde otomatik olarak kişisel veri alışverişinin platform üzerinde etkinleştirilmesi gibi haksız ticari uygulamaları değerlendirdi. Soruşturma sonunda Meta on milyon avro ceza aldı. AGCM’nin, 2020 yılında tekrar başlattığı soruşturma ise 2018 yılında yürütülen soruşturmaya paralel olarak Facebook kullanıcılarının hala verilerinin nasıl işlendiği ve kullanıldığına ilişkin olarak açık ve direk olarak bilgilendirilmediği belirtildi. Bu kapsamda AGCM Facebook’un eksik bilgi sağlayarak toplanan verilerin hizmetin kişiselleştirilmesi için mi yoksa hedefli reklam kampanyaları yürütmek için mi kullanıldığına ilişkin yeterli bir ayrım sağlamadığına kanaat getirerek 7 milyon avroluk bir cezaya hükmetti[5].
ABD Federal Ticaret Komisyonu tarafından yürütülen inceleme de Meta’nın veri işleme politikalarına dair beyanlar ile eylemlerin uyumsuzluğunu konu edindi[6]. Buna göre, onay alınmaksızın kullanıcıların özel bilgilerinin erişime açıldığı, üçüncü taraf uygulamaların gerekli olmamasına rağmen kullanıcı verilerine erişebildiği, hesabını silen kullanıcılara ait bilgilerin erişilemez olduğunun ve kullanıcı verilerinin reklam verenler ile paylaşılmadığının beyan edilmiş olmasına rağmen aksi uygulamalarda bulunulduğu tespit edildi.
Facebook sadece Avrupa ve Amerika’nın radarında değil!
Avrupa ve Amerika’daki ses getiren soruşturmaların yanında Hindistan Rekabet Otoritesi’nin de (“CCI”) Meta’nın veri paylaşım politikasını mercek altına aldı. 2021 Mart ayında başlayan soruşturma, platformlar arası veri entegrasyonunun Meta’nın hâkim durumunu güçlendirdiği iddiası üzerine başlatıldı. Bu kapsamda CCI, özellikle reklam pazarında kaldıraç etkisi yaratan veri avantajının dışlayıcı etki doğurma potansiyelinin de göz ardı edilemeyeceğine de dikkat çekti.
Brezilya Rekabet Otoritesi (Administrative Council for Economic Defense) ve ilgili düzenleyici otoriteler ise ilgili güncellemenin askıya alınması yönünde Meta’ya tavsiyede bulundu. Brezilya’da uygulanacak Gizlilik Bildirimi’nin şeffaflık seviyesinin artırılması, WhatsApp Business şartlarının güncellenmesi ve kullanıcılar için uygulamanın güvenli kullanımı konusunda eğitim materyallerinin geliştirilmesi hususlarında ilgili otoriteler tarafından öngörülen önlemlerin WhatsApp tarafından taahhüt edilmesi ile inceleme sonlandırıldı[7].
Sonuç
Meta’nın veri toplama politikaları hakkında yürüyen soruşturmaların esasen üç odak nokta üzerinde yoğunlaştığı anlaşılıyor. Bunların başında Meta’nın farklı uygulamalar ve kaynaklardan topladığı verilerin birleştirilmesinin şirkete yarattığı avantajlar geliyor. İkinci olarak otoriteler, verilerin kullanıcı rızası olmaksızın kullanılmasını mercek altına alıyor. Bu inceleme de beraberinde veri koruma hukuku ve rekabet hukukunun uygulama alanlarının belirlenmesi yönündeki değerlendirmeleri getiriyor. Son olarak, soruşturmalarda kullanıcıların verilerinin bir başka uygulamanın verisi ile birleştirilmesine yönelik politikayı kabul etmeye zorlanması hedef alınıyor.
Tüm bu süreçlere ilişkin inceleme ve dava süreçleri devam ederken, geçici tedbir kararı ile hem veri birleştirme politikasının hem de “ya kabul et, ya terk et” koşulu içeren şartların incelendiğini anladığımız Kurum soruşturmasında ise nasıl bir karar alınacağı merakla bekleniyor.
[1] Rekabet Kurulu’nun 11.01.2021 tarihli ve 21-02/25-M sayılı Kararı
[2] ‘Son Güncellememizle İlgili Daha Fazla Zaman Tanıyoruz’ (Whatsapp Blog, 15 Ocak 2021). Erişim için: https://blog.whatsapp.com/giving-more-time-for-our-recent-update/?lang=tr
[3] ‘Bundeskartellamt prohibits Facebook from combining user data from different sources’ (Bundeskartellamt, 7 Şubat 2019). Erişim için: https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/Pressemitteilungen/2019/07_02_2019_Facebook.pdf?__blob=publicationFile&v=2
[4] ‘CMA investigates Facebook’s use of ad data’ (CMA, 4 Haziran 2021), Erişim için: https://www.gov.uk/government/news/cma-investigates-facebook-s-use-of-ad-data
[5] “AGCM – Autorita’ Garante della Concorrenza e del Mercato” (AGCM, 17 Şubat 2021), Erişim için: https://www.agcm.it/media/comunicati-stampa/2021/2/IP330-
[6] ‘Facebook Settles FTC Charges That It Deceived Consumers By Failing To Keep Privacy Promises’ (FTC, 29 Kasım 2011) Erişim için: https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep,
[7] ‘Brazilian DPA joins Facebook/WhatsApp debate in first major move’ (GDR, 28 Mayıs 2021) Erişim için: https://globaldatareview.com/article/brazilian-dpa-joins-facebookwhatsapp-debate-in-first-major-move Erişim tarihi: 18.09.2022.
