EN-US 
TR-TR 
Avrupa Veri Koruma Kurulu (“EDPB”) 28 Temmuz 2021 tarihinde, son Genel Kurul toplantısında, Whatsapp Ireland Limited ile ilgili uyuşmazlık çözümü kararı aldığını açıklamıştır. İlgili kararın 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Yönetmeliği'nin (“GDPR”) EDPB’nin, ilgili bir denetim makamının baş makamın bir taslak kararına yerinde ve gerekçeli bir itirazda bulunduğu veya baş makamın böylesi bir itirazı yerinde veya gerekçeli görmeyerek reddettiği hallerde bağlayıcı karar alabileceğini ve bu bağlayıcı kararın yerinde ve gerekçeli bir itiraza konu olan tüm hususlar ile özellikle GDPR’a ilişkin bir ihlal olup olmadığıyla ilgili olacağını düzenleyen 65 (1) (a) maddesine dayanılarak alındığı belirtilmiştir. EDPB özellikle, bağlayıcı kararın, İrlanda Veri Koruma Komisyonu (“DPC”) tarafından baş denetim otoritesi olarak verilen taslak kararın belirli yönleriyle ilgili fikir birliği eksikliğini ve denetim otoriteleri tarafından ifade edilen müteakip itirazları ele almayı amaçladığını vurgulamıştır.
Öncelikle EDPB, taslak kararın Whatsapp'ın GDPR kapsamındaki şeffaflık yükümlülüklerine uyup uymadığına ilişkin bir soruşturmaya yanıt olarak verildiğini açıklamıştır. Bu kapsamda EDPB, bazı denetim makamlarının GDPR'ın baş denetim makamı ve diğer ilgili denetim makamları arasında iş birliğini düzenleyen 60. maddesi uyarınca itirazlarda bulunduğunu ve DPC'nin fikir birliğine varamadığını, bu nedenle konuyu EDPB'ye yönlendirdiğini belirtmiştir. GDPR kapsamında “yerinde ve gerekçeli itiraz” bir taslak karar açısından GDPR ile ilgili bir ihlal olup olmadığı veya veri sorumlusu veya veri işleyen ile ilgili olarak öngörülen eylemin GDPR’a uygun olup olmadığına yönelik olarak yapılan ve taslak kararın veri sahiplerinin temel hakları ve özgürlükleri ve uygun olduğu hallerde, kişisel verilerin Avrupa Birliği içerisinde serbest dolaşımı açısından teşkil ettiği risklerin önemini açık bir şekilde gösteren bir itiraz olarak düzenlenmiştir. Sonuç olarak, EDPB, bu düzenleme doğrultusunda itirazların esasını ele alan, mevzu bahis bağlayıcı kararı kabul etmiştir. Buna göre DPC’nin, EDPB kararına dayanarak veri sorumlusuna hitaben nihai kararını gecikme olmaksızın ve EDPB'nin kararını bildirdikten en geç bir ay sonra kabul edeceği belirtilmiştir.
EDPB özellikle, DPC'nin şeffaflık yükümlülükleri ihlalleri, hesaplanan para cezası ve emre uyma süresi ile ilgili taslak kararını değiştirmesini talep ettiğini vurgulamıştır. Bununla birlikte EDPB, DPC'nin bulgularına ek olarak, Whatsapp'ın kullanıcılara sağlanan bilgilerle ilgili GDPR'ın 12, 13 ve 14. maddelerindeki şeffaflık yükümlüklerini ciddi bir şekilde ihlal ettiğini ve ayrıca sağlanan bilgilerle ilgili eksiklikler tespit ettiğini, kullanıcıların takip edilen meşru çıkarları anlama yeteneklerini etkilediğini ve bu nedenle DPC'nin kararının GDPR'ın 13(1)(d) maddesinin ihlal edildiğine dair bir bulgu içermesini istediğini belirtmiştir. GDPR’ın 6(1) maddesinin (f) bendi, işleme faaliyetinin, özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin veri sorumlusu veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olduğu taktirde hukuka uygun olduğunu düzenlemektedir. İşleme faaliyetinin bu düzenlemeye dayanması ve bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, GDPR'ın 13(1)(d) maddesi kapsamında veri sorumlusu veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere dair bilgilerin tamamı veri sahibine sağlanmalıdır. Bununla birlikte EDPB, GDPR’ın veri sahibinin kişisel verilerinin hukuka uygun, adil ve şeffaf bir biçimde işlenmesini gerektiren düzenlemesi kapsamında şeffaflık ilkesinin de ihlal edildiğini belirtmiş ve bunun nihai para cezasına yansıtılmasını istemiştir.
Ayrıca EDPB, cezanın hesaplanmasına ilişkin birtakım taleplerde ve açıklamalarda bulunmuştur. Özellikle, EDPB, bir teşebbüsün cirosunun münhasıran GDPR'ın idari para cezaları kesilmesine ilişkin genel koşulları düzenleyen 83(4)-(6) maddesi uyarınca azami para cezasının belirlenmesiyle ilgili olmadığına, ancak uygun olduğunda, para cezasının GDPR'ın 83(1) maddesi uyarınca etkili, orantılı ve caydırıcı olmasını sağlamak için para cezasının hesaplanmasında değerlendirilebileceğine karar vermiştir. Bu nedenle EDPB, Whatsapp'ın ana şirketi Facebook Inc'in konsolide cirosunun ciro hesaplamasına dahil edilmesi gerektiğini tespit etmiştir. Buna ek olarak EDPB, aynı veya bağlantılı veri işleme işlemleri için birden fazla ihlalle karşılaşıldığında, para cezasının miktarı hesaplanırken tüm ihlallerin dikkate alınması gerektiğini vurgulayarak, GDPR'ın 83(3) Maddesinin yorumlanmasına ilk kez açıklık getirmiştir.
Bu kapsamda DPC, 2 Eylül 2021 tarihinde, kabul edilen bağlayıcı karar ile bir dizi faktör temelinde cezayı yeniden değerlendirmesi ve arttırması gerekli tutulduktan sonra, Whatsapp Ireland Limited'e 225 milyon Euro'luk para cezası verme kararı aldığını duyurmuştur.
DPC, kararın gerekçesinde, Whatsapp tarafından hem kullanıcılarına hem kullanıcı olmayanlara sağlanan bilgilerdeki şeffaflık yükümlülüklerinin ihlalini dikkate almıştır. Bu kapsamda, Whatsapp'ın mevcut kişi listesi özelliğinin, kayba neden olan hesaba dayalı adresleme işleminden (Lossy Hash) sonra bile kişisel veri oluşturan, kullanıcı olmayanların telefon numaralarını içerdiği belirtilmiştir. Bu özelliğin, kullanıcı olmayanları kişisel verilerinin işlenmesinden haberdar etmediği ve böylece GDPR'ın kişisel verilerin veri sahibinden alınmadığı hallerde sağlanacak bilgileri düzenleyen 14. maddesini ihlal ettiği açıklanmıştır. Ayrıca DPC kararda, Whatsapp ve Facebook'a ait diğer şirketler arasındaki veri paylaşımı hakkında kullanıcılara sağlanan bilgilerin de yetersiz olduğuna karar vermiştir.
Son olarak DPC'nin nihai kararı, şeffaflık yükümlülüklerine en kısa sürede uyumun sağlanmasının hayati öneminin altını çizmiş olan EDPB'nin talep ettiği üzere, DPC'nin taslak kararının başlangıçta öngördüğü altı aylık zaman diliminden düşürülmüş olan üç aylık bir süre içinde işleme operasyonlarının uygunluğa getirilmesi emrini içermektedir.
Esra Temur, Simge Kılıç
