Facebook’un GDPR’den İstikrarlı Kaçışı

Facebook, 2018 yılından bu yana AB Genel Veri Koruma Tüzük’ünün (GDPR) rızaya ilişkin yükümlülüklerden bir şekilde kaçmayı başarabildi. Ancak bu kez şirket için yolun sonu görünüyor olabilir.

2010 yılında fakülteden arkadaşlarımla bir web sitesi kurmuştuk. İlgilisine, o sitedeki gelişmeleri ulaştırmak için sitenin Facebook sayfasını açmayı da ihmal etmedik. Yıllar geçti, web sitesi kapandı, siteye özgü oluşturulmuş Facebook sayfası ise atıl kaldı. Bu sayfayı, hedef kitlesi o siteninkine benzer başka bir projede kullanmak amacıyla temizlemek istiyordum.

İlk iş sayfanın yönetim panelinde yer alan gönderi arşivine girdim, amacım gönderileri toplu şekilde seçerek hepsini tek kalemde silmekti. Ancak Facebook, buna müsaade etmiyordu. Bu amaç için yazılmış tarayıcı scriptleri ve makro yazılımları denedim, ama nafile, hiçbiri işe yaramamıştı.

Neticede gönderileri tek kalemde silme işini olağanın dışına çıkan yollarla dahi beceremeyince şunu anladım: Facebook, veriyi sisteme alırken çok cömert ve kullanıcı dostuydu; ancak bunlar toplu şekilde silinmek istendiğinde kullanıcıya sinir harbi yaşatarak onun pes etmesini istiyordu.

Facebook, benzer bir sinir harbini Avrupa’daki kişisel veri koruma otoritelerine de yaşatıyor olmalı. Öyle ki 2021 yılında Max Schrems‘in yayınladığı bir belgeye göre Facebook’un AB Genel Veri Koruma Tüzük’üne (GDPR) uyumuna ilişkin temel dokümanı, yalnızca dört sayfadan ibaretti. Oysa bu belgenin yüzlerce sayfa olması bekleniyordu.

GDPR bakımından film daha da geriye sarıldığında Facebook’un istikrarlı kaçış hikayesine de rastlamak mümkündü. Şirket, çevrimiçi davranışsal reklamcılık kapsamında gerçekleştirdiği kişisel veri işleme faaliyetleri için 2018 yılından bu yana istikrarla GDPR’nin rızaya ilişkin yükümlülüklerinden kaçmaya çalışıyordu. Bu hikayeye geçmeden önce bugünkü adıyla Meta’nın olağanüstü reklam gücünü hatırlayalım.

Meta’nın reklam gücü

Meta, bugün internet reklam endüstrisinin en önemli şirketlerinden biri. Şirket çatısı altında yer alan Facebook, Instagram ve Whatsapp’ın her biri, 2 milyarı aşkın kişi tarafından kullanılıyor. Reklam verenlerin şirkete bu denli yoğun ilgi göstermesinin tek sebebi ise milyarlarca kullanıcıya sahip olması değil. Esas mesele, Meta’nın reklam verenlerin tanımladığı hedef kitlelere çok yüksek doğruluk oranlarıyla ulaşabilmesi.

Şirketin hedefli reklam uygulamaları konusundaki başarısı, kullanıcılarını, kendilerinden bile daha iyi tanıyabilen algoritmalarına dayanıyor. Meta, kullanıcıların Facebook ve Instagram’daki (ve belki de Whatsapp’taki) beğeni, paylaşım ve benzeri aktivitelerine ilişkin verileri yüzlerce parametre üzerinden işleyerek her bir kullanıcıyı çeşitli profil gruplarına ayırıyor. İnternette eşi ve benzerine zor rastlanır bu gruplar, ardından parlak cümlelerle reklam verenlere pazarlanıyor. Yani burada, gözetim kapitalizminin çarkları sıkı işliyor, anlayacağınız.

Meta, çarkları kusursuz şekilde işletmek için hukuk kurallarını bir araç olarak kullanmayı da ihmal etmiyor. Örneğin Facebook, GDPR’nin yürürlüğe girmesine dek kişisel veri işleme sebeplerinden rızaya dayandığını iddia ediyordu. Ancak rızanın GDPR’de daha sıkı şartlarla düzenlendiğini fark edince düzenlemedeki yükümlülüklerden kaçış serüveni başladı. Hem de GDPR’nin yürürlüğe girdiği 25 Mayıs 2018 gecesinde…

🗓️ 2018 | İlk durak: sözleşme

O zamanki ismiyle Facebook, 25 Mayıs 2018 günü rızaya ilişkin yükümlülüklerden kaçmak için veri işleme sebebi olarak “sözleşmeye dayalı gerekliliği” göstermişti. (Veri işleme sebepleri hakkında bilgi için bkz. son not ↓) Facebook, kullanıcılarla yaptığı sözleşmelerden hareketle kendisinin onlara bir “reklam sunma yükümlülüğü” olduğunu iddia ediyordu. Nitekim kullanıcı sözleşmeleri de bu yükümlülüğü içerecek şekilde hazırlanmıştı. Sonra bu hükme dayanarak “bakın benim kullanıcı sözleşmesinden kaynaklı böyle bir yükümlülüğüm var, bu sebeple kişisel veri işlemem şart” denilecekti. Yani Facebook, tek taraflı şekilde hazırladığı kullanıcı sözleşmesine önce kendisine para kazandıracak bir yükümlülük öngörmüş, yetmemiş, bunu GDPR’nin rızaya ilişkin gerekliliklerinden kaçmak için kullanmıştı. Uzunca bir süre kaçmayı başarabildi de.

Belki de rızadan kaçış yönteminin altyapısı İrlanda Veri Koruma Otoritesi’yle yaptığı gizli görüşmeler esnasında şekillenmişti. İrlanda otoritesi, mahremiyet alanında Avrupa otoriteleriyle uzun süredir problem yaşayan Facebook için bulunmaz bir nimetti. Zira otorite, Facebook’la; onun GDPR’ye uyum sağlaması noktasında değil, veri işleme faaliyetleri esnasında GDPR’nin nasıl “bypass” edileceği konusunda bir işbirliği yapıyordu. Taraflar arasında gerçekleştirilen on gizli toplantının ardından İrlanda otoritesi, bu görüşmelerdeki “bypass” yolunu Avrupa veri koruma otoritelerine teklif etme cüretini dahi göstermişti.

Facebook, hem İrlanda otoritesi aracılığıyla hem de kendi lobi gücünü kullanarak Avrupa Veri Koruma Kurulu’nun (EDPB) hazırlayacağı rehberlere de etki etmeye çalıştı. Ancak EDPB, sözleşmeye dayalı veri işleme gerekliliğine ilişkin rehberinde, sosyal medya şirketlerinin rıza yükümlülüklerinden kaçmasını sağlayacak açıklama ve örneklerin rehberde bulunması yönündeki önerilere kulak asmadı. Daha da önemlisi, 2022 yılının Aralık ayında yayınlanan EDPB kararıyla Meta’nın, kullanıcıları kişiselleştirilmiş reklamları kabul etmeye zorlayamayacağına hükmedildi. Karara göre Meta’nın sözleşmeye dayalı profille uygulamasından vazgeçmesi ve kişiselleştirilmiş reklamlar için üç ay içinde kullanıcılardan onay alması gerekecekti (opt-in). Peki Meta ne mi yaptı? Yine kaçmayı tercih etti.

Max Schrems’in onursal başkanlığını yaptığı Noyb, EDPB’nin Aralık-2022’deki kararını bu görselle duyurmuştu.

🗓️ 2023 | İkinci durak: meşru menfaat

EDPB’nin kendisine verdiği sürenin dolmasının ardından Meta’nın veri işleme sebebi yönünden tercihi yine rıza’dan yana olmadı. Kişiselleştirilmiş reklamlar kapsamında kişisel verilerin işlenmesinin hukuki dayanağı olarak bu kez “meşru menfaatseçildi. Yapılan açıklamada, dileyen kullanıcıların, davranışsal reklamcılık uygulamalarından kendi istekleriyle ayrılabilecekleri de belirtildi (opt-out). Ancak Schrems, sunulan opt-out seçeneğinin, bir anlamda kurumların gözünü boyamaktan başka bir işe yaramadığını söylüyordu. Zira Facebook, kullanıcıların opt-out yapabilmesi için “mümkün olabilecek en karmaşık çevrimiçi form“u hazırlamıştı. Yani Meta, bir kez daha GDPR’yi dolanmayı deniyordu.

Her şeye rağmen Meta için bu kez yolun sonu görünüyor olabilir. Zira AB’deki otoriteler, meşru menfaatin de bir veri işleme sebebi olarak kullanılamayacağına karar verirse artık geriye –hukuki perspektiften değerlendirildiğinde– rızadan başka bir şey kalmıyor. Üstelik AB otoritelerinin önünde bu yönde örnek bir karar da bulunuyor: İtalyan veri koruma otoritesi, 2022 yılındaki Tiktok kararında meşru menfaatin reklam faaliyetleri kapsamında kullanılamayacağına karar vermişti.

Neticede GDPR, davranışsal reklamcılık uygulamaları özelinde Meta’ya hala gereği gibi uygulanabilmiş değil. Meta, GDPR’nin yürürlüğe girdiği 25 Mayıs 2018’den bu yana öngörülen yükümlülüklerden bir şekilde kaçmayı başarabildi. Avrupa’lı otoritelerin, bugüne kadar toplamda 1 milyar Euro’yu aşan miktarda kestiği cezalar da bu kaçışı engelleyemedi. Aradan geçen 5 yılın ardından Meta’nın GDPR’ye tam uyumunun ne zaman gerçekleşeceğini hep birlikte göreceğiz.


Son not:

GDPR’ye göre veri sorumlularının, hukuka uygun şekilde veri işlemesi için öngörülen altı veri işleme sebebinden birine dayanması gerekiyor (GDPR m. 6). Birbirleri arasında bir hiyerarşinin bulunmadığı bu sebeplerden ilki ve şüphesiz ilgili kişilere en korunaklı çerçeveyi sunanı ise rıza (consent). Facebook, Twitter ve Instagram örneklerinde olduğu gibi kişisel verilerin karşı edim olarak kullanıldığı sözleşmeler bakımından muhtemel iki işleme sebebi daha bulunuyor: ilgili kişinin tarafı olduğu sözleşmenin ifası kapsamında veri işlemenin gerekli olması (“sözleşmeye dayalı gereklilik“) veya işleme faaliyetinin veri sorumlusunun meşru menfaatleri için gerekli olması (“meşru menfaat“). Ancak rızadan kaçarak bu iki işleme sebebinden birine dayanabilmek için GDPR’nin öngördüğü çerçeveye uymak gerekiyor. Detaylı bilgi için bkz. Taştan, Furkan Güven; The (im)possibility of personal data as an object of contracts: An analysis of the GDPR and the Digital Content Directive, Tilburg University, Master’s Degree Programme of Law and Technology, July 2021.

Görsel, Midjourney’le üretilmiştir.