Instagram'ın 405 milyon Euro'luk cezası, General Data Protection Regulation ("GDPR") kabulünden bu yana en yüksek ikinci para cezası olmuştur. En yüksek ceza, hedef kitle pazarlaması amacıyla müşteri verilerini nasıl kullandığı konusunda Amazon'a verilmiştir.
İkinci en yüksek ceza ise çocukların veri haklarının doğru yönetilmemesi nedeniyle verilmiştir.
Veri korunmasıyla ilgili olarak "çocuğun yüksek yararı" ile ne kastedilmektedir?
ICO'nun açıkladığı şekilde, çocuğun yüksek yararı her şeyden önce gelmektedir. Birleşmiş Milletler Çocuk Hakları Sözleşmesi'nde ("UNCRC") Madde 3 kapsamında, bir davaya veya işleme konu olan bir çocuğun olduğu yerde, kanun koyucuların öncelikle çocuğun yüksek menfaatini göz önünde bulundurmaları gerektiği ifade edilmektedir. Bu, tüm yasal, idari ve yargısal işlemlerde uygulanır. Dava, aile mahkemeleri, çocukların korunması ve hem özel hem de kamusal konularla ilgili olabilir. Instagram kararı kapsamında, yukarıda belirtilen eylem veri koruması ile ilgilidir.
Herkesin bildiği gibi çocuklar da sosyal medya platformlarını kullanabilmektedir. Dolayısıyla çocukların çıkarlarını korumak için farklı türde iyi uygulamalar bulunmaktadır. Çocukları şiddet veya uyuşturucu kullanımı içeren sahneler gibi zararlı içeriklerden korumak için Netflix'in çocuklara yönelik hesapları bulunmaktadır. Başka bir örnek olarak, ebeveynlerin çocuklarının uygulamada kiminle konuştuğunu görmelerini sağlayan bir özellik çıkarmış olan Snapchat olabilir. Ancak bu iyi uygulamaların yanında sosyal medya platformları ciddi eleştirilere maruz kalmaktadır. Bu eleştirilere maruz kalan platformlarda TikTok, WhatsApp ve Discord mevcuttur. Bir diğer dikkat çekici örnek ise Instagram olmuştur.
İdari Ceza Konusu Uygulama
Instagram'da iki farklı ayar bulunmaktadır. İlki, kullanıcıların profillerinde fotoğraflarını paylaşabilecekleri ve başka özelliklere sahip olan bir hesap türüdür. İkinci ve cezanın sebebi olan hesap, işletme hesabıdır. İşletme hesapları, çocuklar tarafından kullanılabilir niteliktedir ve kullanıcının reşit olup olmadığı konusunda herhangi bir denetim bulunmamaktadır.
İşletme hesabı varsayılan olarak herkese açıktır, yani işletme sahibiyle ilgili telefon numarası ve e-posta gibi tüm fotoğraflar ve bilgiler herkese açıktır. 18 yaşın altındaki genç kullanıcılar bir işletme hesabı oluşturduysa, iletişim bilgileri herkese açık olacaktır.
GDPR, privacy by design ve privacy by default ilkesini benimser. "Privacy by design" terimi, teknoloji süreci veya yazılım tasarım aşamasında veri korumanın esas alınması anlamına gelir. "Privacy by default", veri işleyen tarafından, kullanıcılarının gizliliğinin korunması için her türlü seçeneğin varsayılan olarak aktif edilmesi anlamına gelir. Kararda, ticari hesapların kamuya açık olması hakkında çok az açıklama veya hiç açıklama bulunmadığından, hesapların varsayılan olarak halka açık şekilde gerçekleştirilen uygulamanın GDPR'ı ihlal ettiği tespit edildi.
Instagram'ın 405 Milyon Euro Cezası
İrlanda denetleme otoritesi, Veri Koruma Komisyonu ("DPC") 21 Eylül 2020'de soruşturma başlatmıştır ve Instagram'ın ana şirketi Meta'dan bilgi istemiştir. DPC, GDPR açısından çözülmesi gereken sorunları içeren "Sorun Bildirimi"ni Meta'ya sağlamıştır. Meta, DPC'ye yanıtları ve "Meşru Çıkar Değerlendirmesi"nin güncellenmiş bir sürümünü sağlamıştır. 11 Haziran 2021'de DPC, devam eden soruşturma kapsamındaki işleme faaliyetlerine ilişkin Meta IE aleyhine bir "Ön Karar Taslağı" yayınlamıştır. Bir ay sonra Meta, Ön Karar Taslağı'na yanıtını sunmuştur ve idari para cezası verilmesine ilişkin genel koşullara ilişkin kuralları belirleyen bir madde olan GDPR'ın 83(3). Maddesi kapsamında ek beyanlarına yer vermiştir. Diğer denetim makamları itirazda bulunduğundan, 13 Mayıs 2022'de DPC, sürecin süresini uzatan GDPR Madde 65(1)(a) uyarınca uyuşmazlık çözüm prosedürünü başlatmıştır.
Yaklaşık iki yıl sonra, İrlanda denetleme otoritesinin Meta Platforms Ireland Limited (Instagram) ile ilgili GDPR Madde 65(1)(a) kapsamındaki taslak kararında 28 Temmuz 2022'de bağlayıcı verilmiştir.
DPC, GDPR'a uyumlulaştırılması ve genç kullanıcıların verilerini koruma hakkında çok sayıda değerlendirmede bulunmuştur. Uzun araştırmalar ve değerlendirmeden sonra DPC, Instagram'ın GDPR'ı ihlal ettiğini tespit etmiştir.
Uyuşmazlık çözüm sürecinden sonra, Avrupa Veri Koruma Kurulu'nun ("EDPB") kararı, DPC'nin kararı lehindeydi ve kararı diğer denetim makamlarından birkaç ek değişiklikle onaylamıştır.
2 Eylül 2022'de DPC kararı kesinleştirdi ve yayınladı. Söz konusu karara göre, toplam 405 milyon Euro'ya varan 10 farklı ihlal nedeniyle para cezası verilmiştir.
Kararın Önemi
Daha önce de bahsedildiği üzere bu karar GDPR tarihinin en yüksek ikinci cezasını içeriyordu.
Ayrıca, Çocuklara Kötü Muameleyi Önleme Ulusal Derneği ("NSPCC") Çocuk Güvenliği Çevrimiçi Politikası Başkanı Andy Burrows'un belirttiği gibi:
"Karar, uygulamanın çocukları sosyal medyada ne kadar etkili bir şekilde koruyabileceğini gösteriyor ve düzenlemenin çocukları çevrimiçi ortamda nasıl daha güvenli hale getirdiğinin altını çiziyor."
Bu yazımızdaki olgu ve veriler, EDPB'nin Kararına (buradan ulaşabilirsiniz) ve İrlanda Denetleme Otoritesi/Veri Koruma Komisyonuna (buradan ulaşabilirsiniz) dayanmaktadır.
Comments