TR-TR 
EN-US 
15 Haziran 2021 tarihinde, Avrupa Birliği Adalet Divanı’nın (“Divan”) resmi basın bülteninde “Facebook İrlanda ve Diğerleri” başlıklı 645/19 sayılı kararı yayımlanmıştır. Divan, 645/19 sayılı kararında özet olarak, AB’nin 2016/679 sayılı Genel Veri Koruma Yönetmeliği (“General Data Protection Regulation-GDPR”) kapsamında kişisel verilerin sınır ötesi işlenmesiyle ilgili olarak ulusal denetim makamlarının yetkilerinin kullanılmasına ilişkin koşulların neler olacağını belirlemiştir. Bununla birlikte, Divan 645/19 sayılı kararında, belirlediği bu koşullar altında, bir ulusal denetim makamının kişisel verilerin işlenmesi ile ilgili olarak baş denetim makamı olmadığı durumlarda dahi, söz konusu makamın, herhangi bir GDPR ihlali iddiasını bir üye devletin ulusal mahkemesi huzuruna getirme yetkisini kullanabileceğine hükmetmiştir.
Uyuşmazlık
11 Eylül 2015 tarihinde, başvurucu Belçika Gizlilik Komisyonu (“Gizlilik Komisyonu-DPA”) başkanı, davalılar Facebook İrlanda, Facebook Inc. ve Facebook Belçika aleyhine Brüksel İlk Derece Mahkemesi (“Nederlandstalige rechtbank van eerste aanleg Brussel”) huzurunda, diğerlerinin yanı sıra Facebook tarafından yapılan kişisel verilerin korunması mevzuatına ilişkin ileri sürülen ihlallerin sonlandırılması gerekçesiyle, ihtiyati tedbir talepli yasal işlemleri ikame etmiştir. Bununla birlikte, uyuşmazlık konusu ihlallerin, çerezler, sosyal eklentiler veya pikseller gibi çeşitli teknolojiler aracılığıyla Belçika asıllı internet kullanıcılarının Facebook hesabı sahibi olup olmadıklarına bakılmaksızın, internet ortamındaki tarama davranışlarına ilişkin bilgilerin toplanması ve kullanılmasından oluştuğu belirtilmiştir.
Bunun akabinde, 16 Şubat 2018’de, Brüksel İlk Derece Mahkemesi, söz konusu dava hakkında karar verme yetkisine sahip olduğuna ve esas itibariyle, Facebook sosyal ağının ilgili bilgilerin toplanması ve kullanılması konusunda Belçika asıllı internet kullanıcılarını yeterince bilgilendirmediğine karar vermiştir. Ayrıca, Brüksel İlk Derece Mahkemesi, internet kullanıcılarının bu verilerin toplanması ve işlenmesi için verdikleri rızanın geçersiz olduğuna hükmetmiştir. Sonuç olarak, Brüksel İlk Derece Mahkemesi, davalılar Facebook İrlanda, Facebook Inc. ve Facebook Belçika’nın; (i) Belçika’da yerleşik tüm internet kullanıcıları ile ilgili olarak, Facebook.com etki alanındaki bir web sayfasında gezinirken veya web sitesini ziyaret ederken kullandıkları cihazlara iki yıl boyunca etkin kalan çerezleri, rızaları olmadan yerleştirmekten ve Facebook sosyal ağı tarafından izlenen hedefler ışığında aşırı olacak şekilde üçüncü taraf web sitelerine sosyal eklentiler, pikseller veya benzer teknolojik araçlar aracılığıyla çerez yerleştirmekten ve veri toplamaktan vazgeçmesine, (ii) Facebook tarafından çerezlerin kullanımı için uygulamaya konulan mekanizmaların gerçek kapsamı konusunda ilgili kişileri makul ölçüde yanıltabilecek bilgiler vermekten vazgeçmesine ve (iii) çerezler ve sosyal eklentiler aracılığıyla elde edilen tüm kişisel verileri imha etmesi gerektiğine hükmetmiştir.
Brüksel İlk Derece Mahkemesi’nin kararı üzerine, davalılar Facebook İrlanda, Facebook Inc. ve Facebook Belçika, 2 Mart 2018 tarihli temyiz başvurusu üzerine uyuşmazlık Brüksel Temyiz Mahkemesi’ne taşınmıştır. Bunun akabinde, uyuşmazlığın Divan’a taşınması, Brüksel Temyiz Mahkemesi’nin huzurundaki yargılamayı durdurarak aşağıda yer alan esasların yorumlanmasında Divan’ın görüşünü sorması ile gerçekleşmiştir:
-GDPR madde 55(1), 56-58, 60-66 maddeleri, bir ulusal denetim makamının kişisel verilerin sınır ötesi işlenmesi kapsamında baş makam olmasa dahi bir üye devlet huzurundaki ulusal mahkemede söz konusu GDPR düzenlemelerinin ihlallerine karşı yasal işlem başlatma ve/veya yasal süreç takip etme yetkisi verir şeklinde yorumlanabilir mi?
Divan’ın Değerlendirmeleri ve Karar
İlk olarak Divan, GDPR kapsamında kişisel verilerin sınır ötesi işlenmesiyle ilgili olarak ulusal denetim makamlarının yetkilerinin kullanılmasına ilişkin koşulların neler olacağını belirlemiştir. Bu kapsamda,
sınır ötesi işleme ile ilgili olarak, GDPR, bir ‘baş denetim otoritesi’ ile ilgili diğer ulusal denetim otoriteleri arasındaki yeterliliklerin tahsis edilmesine dayanan ‘tek durak noktası’ mekanizmasını tanıtmıştır. Bununla birlikte, Divan bahsi geçen mekanizmanın, kişisel verilerin korunmasına ilişkin kuralların tutarlı ve homojen bir şekilde korunmasını sağlayacağını ve böylece etkinliğini korumak için bu makamlar arasında yakın, samimi ve etkili bir iş birliği gerektireceğini belirtmiştir. İlaveten, yetkinliklerinin uygulanmasında, baş denetim otoritesi, ilgili diğer denetim otoriteleri ile gerekli diyalogdan ve samimi ve etkili iş birliğinden kaçınamayacağını da belirtmiştir.
Bu değerlendirmelerine ek olarak, Divan, söz konusu iş birliği bağlamında, baş denetim makamı diğer denetim makamlarının görüşlerini görmezden gelemeyeceğine ve diğer denetim makamlarından biri tarafından yapılan ilgili ve gerekçeli itirazlar, en azından geçici olarak, baş denetim makamının taslak kararının kabul sürecini engelleme etkisine sahip olacağına hükmetmiştir. Divan ayrıca, bir sınır ötesi veri işleme örneğiyle ilgili olarak baş denetim makamı olmayan bir üye devletin denetim makamının, GDPR’ın iddia edilen herhangi bir ihlalini söz konusu mahkemeye getirme yetkisini kullanabilmesinin mümkün olduğunu da eklemiştir.
İkinci olarak, Divan, kişisel verilerin sınır ötesi işlenmesi kapsamında, baş denetim makamı dışında bir üye devletin denetim makamının yetkisinin kullanılması için herhangi bir sağlanması gereken ön koşul olmadığını değerlendirmiştir. Bununla birlikte, Divan, bu yetkinin kullanılmasının, sınır ötesi veri işlemeye ilişkin veri sorumlusu veya işleyenin Avrupa Birliği’nde bir kuruluşu olduğunu varsayan GDPR’ın, bölgesel yargı yetkisi kapsamına girdiği hallerde mümkün olacağını eklemiştir.
Üçüncü olarak, Divan, kişisel verilerin sınır ötesi işlenmesi durumunda, baş denetim makamı dışında bir Üye Devletin denetim makamının yetkisinin, GDPR’ın herhangi bir iddia edilen ihlalini bir mahkeme önüne getirme yetkisi olduğuna hükmetmiştir. Bu üye devlet ve uygun olduğu hallerde, yasal takibat başlatmak veya bu kovuşturmalara girişmek için, hem bu makamın kendi üye devletinde bulunan veri sorumlusunun ana kuruluşu açısından hem de bu veri sorumlusunun başka bir kuruluşu ile ilgili olarak, yasal işlemlerin amacı, bu kuruluşun faaliyetleri bağlamında yürütülen verilerin işlenmesi ve bu makamın bu yetkiyi kullanmaya yetkili olmasıdır. Ancak Divan, bu yetkinin kullanılmasının GDPR’ın uygulanabilir olduğunu varsayıldığında mümkün olduğunu belirtmiştir. Divan, mevcut uyuşmazlık bakımından, Belçika’da bulunan Facebook grubunun kuruluş faaliyetleri ayrılmaz bir şekilde ana davada söz konusu kişisel verilerin işlenmesiyle bağlantılı olduğunu, Facebook İrlanda’nın AB içinde veri sorumlusu olduğu ile ilgili olarak, bu işlemin ‘veri sorumlusunun bir kuruluşunun faaliyetleri bağlamında’ gerçekleştirildiğini ve bu nedenle GDPR kapsamında olduğunu belirtmiştir.
Son olarak, Divan, her üye devletin, denetim otoritesinin bu düzenlemenin ihlallerini yargı makamlarının dikkatine sunma ve uygun olduğunda yasal işlemleri başlatma veya başka bir şekilde meşgul etme yetkisine sahip olduğunu kabut etmekle ilgili ve GDPR hükmünün doğrudan uygulanabilir olduğunu belirtmiştir. Neticeten, böyle bir otoritenin, ilgili üye devletin mevzuatında özel olarak uygulanmamış olsa bile, özel taraflara karşı yasal işlem yapmak veya devam ettirmek için bu hükme güvenebileceğine hükmetmiştir.
Ezgi Ceren Aydoğmuş, Esra Temur
