Dünyada Neler Oluyor?

Avrupa Birliği’ndeki Siyasi Partiler Seçim Öncesinde Deepfake’lerden Uzak Durma Sözü Verdi!

Avrupa Birliği’ndeki (“AB”) siyasi partiler Nisan ayında , AB’nin adil kampanyaya ilişkin tüzüğünün bir parçası olarak, Haziran ayında yapılacak seçimler öncesinde “deepfake” olarak adlandırılan sahte içeriklerin, üretilmemesi, kullanılmaması ve yayılmaması konusunda anlaştı. Siyasi partilerin çoğunluğu, Avrupa Komisyonu’nda düzenlenen bir törenle 6-9 Haziran’daki Avrupa seçimleri öncesinde bahsi geçen taahhütleri içeren gönüllü bir davranış kuralları belgesi imzaladı.

Söz konusu taahhüt, dezenformasyon kampanyaları ve siber saldırılar yoluyla yabancı müdahalelere ilişkin endişelerin arttığı bir dönemde geldi. Politikacılar da dahil olmak üzere kamuya mal olmuş kişileri taklit etmek için yaygın olarak erişilebilen yapay zekâ araçları tarafından üretilen videolar, fotoğraflar ve sesler, seçmenleri manipüle etmek için Slovakya, Birleşik Krallık ve Amerika Birleşik Devletleri’nde yayılmaya başladı. Fransa ve Polonya’daki partiler de bu teknolojiyi diğer siyasetçilere saldırmak için kullandı.

Komisyon Başkan Yardımcısı Věra Jourová “Bu anlaşma seçmenler arasında güven tesis edilmesine yardımcı olacak ve seçim sürecine olan güveni arttıracaktır. Seçimler fikirlerin rekabetine sahne olmalıdır, yapay zekâ deepfake’leri gibi kirli manipülatif yöntemlere değil.” dedi.

Taahhüt, Avrupa Komisyonu ve dünya çapında demokrasiyi destekleyen 35 ülkeden oluşan bir kuruluş olan Uluslararası Demokrasi ve Seçim Yardımı Enstitüsü (European Commission and the International Institute for Democracy and Electoral Assistance, “International IDEA“) tarafından geliştirildi ve üzerinde uzlaşma sağlandı.

Taraflar “ses, görüntü ya da video kullanan ve yapay zekâ ile ya da yapay zekâ olmadan üretilen, adayları, yetkilileri ya da herhangi bir seçim paydaşını yanlış ya da aldatıcı bir şekilde değiştiren ya da taklit eden her türlü aldatıcı içeriği” üretmemeyi, kullanmamayı ya da yaymamayı kabul etti. Bu tür içeriğe yalnızca açıkça belirtilmiş olması halinde izin verilecektir.

Facebook, YouTube ve Tik Tok gibi platformlar ise, AB’nin yeni içerik denetleme yasası Dijital Hizmetler Yasası kapsamında siyasi reklamların ve deepfake’lerin açıkça sahte olduğunun belirtilmesini sağlamak zorunda.

Şubat ayında Google, Facebook’un sahibi Meta ve ChatGPT üreticisi OpenAI gibi şirketler de deepfake’leri tespit etmek ve etiketlemek için tespit araçları oluşturmak üzere birlikte çalışmayı kabul etti.

Tüzükte yer alan diğer 14 gönüllü taahhüt arasında, siyasi mesajları güçlendirmek için sahte hesaplar ve botlar kullanmama ve sosyal medya fenomenleri de dahil olmak üzere siyasi reklamları ifşa etme taahhütleri de yer alıyor. AB’deki Avrupalı siyasi partiler ayrıca şiddeti teşvik eden içerikleri desteklememe ve ayrımcılık içeren mesajlar vermeme taahhütlerinde bulundular.

GRC LEGAL Yorumu: Yapay zekâ teknolojilerinin gelişmesi ve bu sektöre girmek isteyen şirketlerin artması ile birlikte insanların hayatlarını kolaylaştıracak birçok gelişme yaşandığı inkâr edilemeyecekse de pek çok tehlikeli getirisi olduğu da su götürmez bir gerçektir.  Nitekim bir yapay zekâ ürünü olan deepfake aracılığıyla artık neredeyse, gerçek ile ayırt edilemeyecek kadar kaliteli fotoğraf ve videolar üretebilen yapay zekalar bireylerin seçimlerini ve davranışlarını etkileyebilir hale geldi. Bu nedenle, manipülatif bir etkiye sebebiyet veren söz konusu uygulamalar kapsamında AB’deki siyasi partilerin gönüllü olarak böyle bir davranış kuralları benimsemesi oldukça önemlidir.

Özellikli olarak, Şubat ayında Haziran seçimlerine yönelik olarak yürütülecek kampanyalar doğrultusunda günümüze kadar pek çok veri ihlalleri ile gündemde olan TikTok uygulamasının kullanılacağını belirten Avrupa Parlamentosu duyurusu göz önünde bulundurulduğunda, davranış kuralları kapsamında atılan bu ilerleme adımı olumlu olarak değerlendirilebilecektir. (İlgili haberin detaylarına Dünyada Neler Oluyor Bülten’imizin 18. sayısında erişebilirsiniz.)

Threads X Türkiye

Meta, Temmuz 2023’te faaliyete geçen, X’in rakibi Threads’in 29 Nisan’da Türkiye’deki kullanıcılar için kapatılacağını duyurdu. Bunun nedeni, Rekabet Kurumu’nun Threads’in lansmanından bu yana bağlantılı olduğu Instagram ile arasında veri paylaşımını yasaklayan bir kararı.

Rekabet Kurumu’nun yapmış olduğu duyuruda; “Threads profili oluşturan kullanıcıların verilerini, kullanıcılara onay seçeneği sunmaksızın birleştirmesinin; soruşturma tamamlanana kadar telafisi güç zararlara yol açacağı” değerlendirilmesi yapıldı.

Meta, Threads çevrimdışıyken Facebook, Instagram ve WhatsApp gibi diğer hizmetlerinde herhangi bir kesinti olmayacağını ve “Türkiye’de Threads kullanan kişiler için kesintiyi en aza indirecek adımlar atacağını” belirtiyor. Bu adımlar şunları içeriyor:

  1. Türkiye’de Threads kullanan herkes 29 Nisan’dan önce Threads uygulaması içinde ve Instagram’da bu karardan haberdar edilecektir.
  2. Türkiye’de Threads kullanan kişiler, Threads profillerini devre dışı bırakmayı ancak silmemeyi veya profillerini silmeyi seçebilirler.
  3. Bir kişi profilini devre dışı bırakmayı seçerse, Threads Türkiye’ye döndüğünde kullanıcıların gönderileri ve diğer kişilerin gönderileriyle etkileşimleri tekrar görünür hale gelecektir.
  4. Profili devre dışı bırakılan kişiler, istedikleri zaman “bilgilerinizi indirin” özelliği sayesinde gönderilerini indirebilir ve mevcut içeriklerini koruyabilir.

Meta, Threads’in ilgili tüm yasal gerekliliklere uygun olduğuna inandığını belirterek karara katılmadığını ve karara itiraz edeceğini açıkladı. Bununla birlikte, ara karar, Threads’i Türkiye’deki kullanıcılara geri getirmek için Sayıştay ile “yapıcı görüşmeler” yapmaya devam ederken Threads’i çevrimdışı hale getirmekten başka seçenek bırakmıyor. Meta, yaptığı açıklamada Threads’in kapatılması hakkında verilen karara itiraz etmeye hazırlandığını ve mümkün olan en kısa sürede Threads’i Türkiye’deki kullanıcılar için geri getirmeyi planladıklarını aktardı.

Threads, başlangıçta profillerin Instagram’dan bağımsız olarak silinememesi de dahil olmak üzere, Instagram ile olan bağlantıları nedeniyle lansmanından bu yana sorunlarla karşılaşıyor.

GRC LEGAL Yorumu: Meta’nın piyasa sürmüş olduğu Threads platformu, uzun yıllardır sektörde önde gelen X’e rakip olarak ortaya çıkmıştır. Threads, piyasaya sürüldüğü günden itibaren gerek kullanıcıların Instagram hesabı ile ortak bir şekilde bağlanması gerekse de kullanıcı verilerinin birleştirilerek rekabeti güçlendirmesi doğrultusunda kurumlar nezdinde radarda olan bir uygulama idi. Bu doğrultuda, Rekabet Kurumu tarafından atılan bu adımın ilgili uygulamanın kullanıcıların süreci özgür iradeleri ile yönetebilmeleri adına tekrar gözden geçirilmesi için yerinde olduğu söylenebilecektir.

Tüketicilerin Beyin Dalgalarını Koruyan İlk Yasa! !

Colorado Valisi Jared Polis Nisan ayında, kişilerin beyin dalgalarında bulunan verileri korumayı amaçlayan ve ABD’de kabul edilen ilk tedbiri imzaladı.

Tasarının destekçileri, nöro teknolojideki hızlı ilerlemelerin zihinsel verilerin taranmasını, analiz edilmesini ve satılmasını giderek daha mümkün ve karlı hale gelmesi nedeniyle bunun gerekli olduğunu söylediler.

Yasanın destekçilerinden Eyalet Temsilcisi Cathy Kipp yaptığı açıklamada nöro teknoloji alanındaki ilerlemelerin pek çok insanın hayatını iyileştirmek için büyük umut vaat ettiğini belirtirken, “Coloradoluların kişisel verilerinin rızaları olmadan kullanılmasını önlemek için net bir çerçeve oluşturmalı ve aynı zamanda bu yeni teknolojilerin gelişmesine izin vermeliyiz” dedi.

Tasarının sponsorlarından bir diğeri olan eyalet senatörü Kevin Priola, “nöro teknolojinin artık medikal ve akademik ortamlarla sınırlı olmadığını, tüketici ürünleri alanında ise sektörün şu anda hiçbir düzenleme, veri koruma standardı ya da eşdeğer etik kısıtlama olmaksızın faaliyet gösterebildiğini” söyledi.

Nöro teknolojinin etik gelişimini teşvik eden ve kâr amacı gütmeyen Neurorights Vakfı, Colorado’nun desteklediği yasa tasarısının ABD’de türünün ilk örneği olduğunu söyledi. Vakıf, nöro teknoloji endüstrisinin veri gizliliği korumalarını değerlendiren bir rapor yayınladı. Colorado Yasaları, klinik ortamda kullanılan nöro teknolojilerin zaten tıbbi gizlilik yasaları kapsamında olduğunu, bu nedenle yeni önlemin hastane dışında mevcut olan tüketici ürünlerini hedeflediğini belirtiyor.

Meta ile Elon Musk’ın Neuralink’i de dahil olmak üzere büyük teknoloji firmaları, beyin aktivitesini tespit edebilen ve ardından potansiyel olarak ticari kullanıma sunabilen teknolojiler geliştiriyor. Reklamları daha iyi hedeflemek, insanların ruh hallerinden faydalanmak, daha fazla ürün satmak ya da kaybedilen beyin fonksiyonlarını yeniden oluşturmak için beyin verilerinin kullanılması sonsuz bir potansiyele sahip.

ABD Gıda ve İlaç Dairesi geçtiğimiz yıl, daha önce hayvanlar üzerinde test edilen Neuralink’in beyin implantları için insan çalışmalarını onayladı.

Bu ayın başlarında, Neuralink’in rakibi Synchron’un CEO’su Reuters’e verdiği demeçte; şirketinin, cihazına ticari onay almak adına gerekli olan büyük ölçekli bir klinik deney için hasta toplamaya hazırlandığını söyledi.

Dünyanın başka yerlerinde başka hükümetler de nöro teknolojik ürünler söz konusu olduğunda vatandaşların korunmasını arttırmak için çalışmalar yürütüyor.

GRC LEGAL Yorumu: İnsan hayatını kolaylaştırmak için yapılan teknolojik gelişmeler dünyada son sürat ilerlerken bu teknolojik gelişmeler beraberinde birtakım sorunlar da getirmektedir. Nöroteknolojinin de giderek yaygınlaşması, psikolojik rahatsızlıkların ve hastalıkların tedavisinde oldukça yüksek bir öneme sahipken söz konusu teknoloji ile elde edilen bireylere ait verilerin hukuki boyutta ne derece korunduğu tartışmalıdır. Nitekim ilgili verilerin işlenmesi ve muhafazası, temel hak ve özgürlükler ile sıkı sıkıya temas etmekte ve yeni regülasyonların düzenlenmesi ihtiyacını doğurmaktadır. Bu anlamda, Colorado Valisi tarafından imzalanan yasa, bu konuda hazırlanmış ilk yasa olmasıyla büyük önem taşımaktadır. Zira, düzenlenecek diğer yasalar açısından da dünya genelinde bir emsal teşkil edecektir. Bunun yanında teknoloji şirketlerine de regülasyonlara uyum anlamında büyük bir görev düşmektedir. Geliştirilen teknolojilerin denetim altında tutulması ve kötü amaçlar için kullanılmaması için her türlü önlemi almaları gerekmektedir.

GhostR x World-Check

Finansal amaçlı bir suç korsanlığı grubu, şirketlerin potansiyel müşterilerini yaptırımlar ve mali suçlarla bağlantıları açısından taramak için kullandıkları milyonlarca kayıt içeren gizli bir veri tabanını çaldığını söyledi. Kendilerine GhostR adını veren bilgisayar korsanları, Mart ayında World-Check tarama veri tabanından 5,3 milyon kayıt çaldıklarını ve verileri çevrimiçi yayınlamakla tehdit ettiklerini söyledi.

Bilgi Köşesi: World-Check, “müşterinizi tanıyın” kontrolleri (“know your customer”, “KYC“) için kullanılan ve şirketlerin potansiyel müşterilerin kara para aklama ile bağlantılı veya devlet yaptırımları altında olan kişiler gibi yüksek riskli veya potansiyel suçlular olup olmadığını belirlemesine olanak tanıyan bir tarama veri tabanıdır. World-Check, 2021’de finansal veri sağlayıcısı Refinitiv’i satın almak için 27 milyar dolarlık bir anlaşmanın ardından şu anda Londra Menkul Kıymetler Borsası Grubu’na aittir.

Bilgisayar korsanları TechCrunch’a, World-Check veri tabanına erişimi olan Singapur merkezli bir firmadan verileri çaldıklarını söylediler, ancak firmanın adını vermediler. Bilgisayar korsanlarının TechCrunch ile paylaştığı çalıntı verilerin bir kısmı, bu yıl kadar yakın bir zamanda yaptırım uygulanan kişileri içeriyor.

Veri tabanını koruyan Londra Menkul Kıymetler Borsası Grubu’nun (“London Stock Exchange Group”, “LSEG“) sözcüsü Simon Henrick, TechCrunch’a şunları söyledi: “Bu, LSEG’ye/sistemlerimize yönelik bir güvenlik ihlali değildi. Olay, World-Check veri dosyasının bir kopyasını içeren üçüncü bir tarafın veri setini içerir. Bu, üçüncü tarafın sisteminden yasa dışı olarak elde edildi. Verilerimizin korunduğundan emin olmak ve uygun makamların bilgilendirilmesini sağlamak için etkilenen üçüncü tarafla irtibat halindeyiz.” LSEG ise üçüncü taraf şirketin adını vermedi, ancak çalınan veri miktarına itiraz etmedi.

Çalınan verilerin TechCrunch tarafından görülen kısmı, aralarında mevcut ve eski hükümet yetkilileri, diplomatlar ve liderleri “siyasi açıdan nüfuz sahibi kişiler” olarak kabul edilen ve yolsuzluğa veya rüşvete karışma riski daha yüksek olan özel şirketler de dahil olmak üzere binlerce kişiye ait kayıtları içeriyor. Listede ayrıca organize suça karışmakla suçlanan kişiler, şüpheli teröristler, istihbarat görevlileri ve Avrupalı ​​bir casus yazılım satıcısı da yer alıyor.

Veriler ise kayda göre değişiyor. Veri tabanındaadlar, pasaport numaraları, Sosyal Güvenlik numaraları, çevrimiçi kripto hesap tanımlayıcıları, banka hesap numaraları ve daha fazlası bulunuyor

Ancak, World-Check gibi özel olarak işletilen veri tabanlarının, suçla hiçbir bağlantısı olmayan, ancak bilgileri bu veri tabanlarında saklanan tamamen masum insanları etkileyebilecek hatalar içerdiği de biliniyor

GRC LEGAL Yorumu: World-Check sızıntısı, veri koruma ve siber güvenliğin önemini bir kez daha gündeme getirmektedir. İhlale konu olan veri setinin büyüklüğü ve özel nitelikli veri olarak sınıflandırıldığı göz önünde bulundurulduğunda, şirketlerin ve devlet kurumlarının, veri tabanları sistemlerini korumak amacıyla gerekli tedbirleri almaları ve veri ihlali riskini en aza indirmek için proaktif bir yaklaşım benimsemeleri gerekmektedir. Aksi takdirde, gelişen teknoloji ile milyonlarca veri kaydı içeren sistemlerin bilgisayar korsanları tarafından çalınması ve ülke genelinde tehdit unsuru haline getirilmesi kaçınılmaz olmaktadır.

Meta x Davranışsal Reklamcılık

Avrupa Birliği Adalet Divanı’nın (Court of Justice of the European Union, “CJEU”), Meta’nın üçüncü taraf hizmetlerden topladığı ve davranışsal reklamcılık için Facebook’ta toplanan kişisel verilerle ilişkilendirdiği kişisel verileri işlemesinin, GDPR kapsamında sözleşmeye dayalı gerekliliğe veya meşru menfaate dayanamayacağı yönündeki tespitinin ardından birçok şirket belirsizlikle karşı karşıya kaldı. Meta daha sonra veri koruma yetkilileri tarafından eleştirilen ve durumu daha da karmaşık hale getiren bir ‘öde veya rıza göster’ modeli getirdi.

Mevcut düzenleyici işlemler Meta’ya odaklanırken, potansiyel sonuçlar hedefli reklamcılığa yönelik daha geniş eleştirilerle ilgili. ‘Öde veya rıza göster’ modelleri yaygın olarak kullanıldığından birden fazla şirket etkilenebilir. Bu aynı zamanda, Avrupa Birliği Temel Haklar Şartı’nın 16. maddesinde belirtildiği gibi hem AB yasalarına hem de ulusal yasalara ve uygulamalara uygun olarak iş yapma temel hakkı ve özgürlüğü ile de ilgili.

Bu nedenle, herhangi bir sınırlama orantılı ve gerekli olmalı ve genel menfaat veya başkalarının hak ve özgürlüklerini koruma ihtiyacının kabul edilmiş hedeflerini gerçekten karşılamalıdır. Başka bir deyişle, Meta’nın veya büyüklüğü ne olursa olsun başka herhangi bir şirketin iş yapma temel hakkı, genel gizlilik hakkıyla dengelenmelidir.

Uygun Ücretler, Nelere İzin Verilmeli?

‘Öde ya da rıza göster’ modeline olumsuz tepki veren veri koruma otoriteleri için bir engel de CJEU’ın “kullanıcıların, çevrimiçi sosyal ağ operatörü tarafından sunulan hizmeti kullanmaktan tamamen kaçınmak zorunda kalmadan, sözleşmenin ifası için gerekli olmayan belirli veri işleme faaliyetlerine rıza göstermeyi sözleşme süreci bağlamında bireysel olarak reddetmekte özgür olmaları gerektiği, yani bu kullanıcılara, gerekirse uygun bir ücret karşılığında, bu tür veri işleme faaliyetlerinin bulunmadığı eşdeğer bir alternatif sunulması gerektiği” yönündeki açıklamasıdır.

CJEU, bu ifadeleri ile ‘ödeme veya rıza göster’ modelleri için kapının her zaman açık olduğunu ve kullanıcının hizmeti kullanmak için bir ücret ödemesi gerekse bile bu rızanın özgürce verilebileceğini halihazırda onaylamış gibi görünebilir.

Ayrıca, hizmetin finanse edilmesi için bir ücretin “gerekli” olduğunu iddia etmek de pek sorunlu gözükmemektedir. Bu nedenle geriye kalan soru, ücretin “uygun” olması gerekliliği ile ilgilidir. CJEU daha fazla açıklama yapmadı. Bununla birlikte, kullanıcının makul olmayan yüksek bir ücret nedeniyle rıza göstermeyerek hizmeti kullanmaktan tamamen kaçınmamasını sağlamak için bu gerekliliğin dahil edilmiş olması muhtemeldir. Bu durum, bir ücretin ne zaman uygunsuz olduğunun belirlenmesiyle ilgili oldukça karmaşık bir soru yaratıyor.

Avrupa Veri Koruma Kurulu (“European Data Protection Board”, “EDPB”) ve veri koruma yetkililerinin bir hizmetin fiyatlandırmasını fazla regüle etmekten kaçınması için iyi nedenler var. Ek olarak, yetkililer veya EDPB büyük olasılıkla bir hizmetin fiyatlandırılması konusunda bir sonuca varmaya yetkili değil. İş yapma temel hakkı ile temel mahremiyet hakkı arasında bir denge kurmak gerekir. Nitekim, Meta’nın fiyatlandırmasına ilişkin bir düzenleme, Meta’nın iş yapma hakkının sınırlandırılmasını teşkil edecektir.

İleride Belirsizlik Var

GDPR karmaşık bir yasal çerçevedir. İşletmelerin yanı sıra veri koruma otoriteleri de GDPR gerekliliklerini yorumlama ve uygulamada nasıl uyum sağlayacakları konusunda farklılık göstermektedirler. Bu noktada, Alman veri koruma otoritelerinin, CJEU kararından önce Mart 2023’te ortak bir görüş yayınlayarak, abonelik modelini davranışsal reklamcılık için onay almanın bir yolu olarak meşrulaştırdığını ve davranışsal reklamlara ek amaçlar da söz konusu olduğunda şeffaflık veya rıza ayrıntı düzeyi gibi belirli özellikleri ele almaya odaklandığını belirtmek gerekecektir.

Meta kararı ve yarattığı belirsizlik, sektörü genel olarak etkiliyor. Bazı veri koruma yetkilileri, CJEU kararını ve Almanya’daki daha önceki ortak görüşü, bir işletmenin ‘öde veya rıza göster’ modeliyle ekonomik olarak uygulanabilirliğini sağlayan GDPR’a uymanın bir yolu olarak görmek istemiyor.

Üçüncü taraflardan alınan bilgileri kullanan davranışsal reklamcılık için artık onay gerekliyse, birçok kuruluşa sahip şirket gruplarının, kabul edilebilir davranışsal reklamcılığın ne olduğuna dair çizgiyi nasıl çizecekleri konusu soru işareti yaratmaktadır. Büyük olasılıkla, meşru menfaate dayalı davranışsal reklamcılığı kullanmak, kullanıcıları profillemek için kendi bilgilerini (birinci taraf verileri) kullanan bir şirket için hala yasal olabilir. Bununla birlikte, CJEU kararları, işlemenin ne zaman kullanıcının rızası olmadan şirketin yapmasını makul bir şekilde bekleyemeyeceği bir şey olarak kabul edilmesi gerektiğine ilişkin eşiği belirlerken şirketlere tam anlamıyla rehberlik etmemektedir.

Ek olarak, ücretsiz ağ hizmetlerinin kullanıcılarının genellikle bu tür hizmetlerin davranışsal reklamcılıktan elde edilen gelirle sürdürüldüğünün farkında oldukları da ileri sürülebilir. Kullanıcılar ayrıca meşru menfaate dayalı olarak bu tür işlemlere itiraz etme hakkına da sahip olacaktır. Son gelişmelerin ardından, kullanıcılar artık onay verme, hizmetler için ödeme yapma veya bu tür hizmetleri kullanmayı bırakma seçenekleriyle karşı karşıya kalabilir. Bu durum, meşru menfaati reddetmek ve böylece şirketleri ücretsiz hizmetler için ödeme almaya zorlamak yerine, meşru menfaate dayalı bu tür işlemlere izin vermek ancak kullanıcının seçimine ilişkin bilgi ve görünürlük için daha katı gereklilikler getirmek daha iyi ve daha etkili bir çözüm olabilir miydi sorusunu akla getirmektedir.

Son gelişmeler muhtemelen tek yetkili mercii mekanizmasının etkinliğine ilişkin tartışmaları ve reforma ihtiyaç olup olmadığına ilişkin soruları açığa çıkaracaktır. Ne de olsa bu son karar, Meta’nın baş veri koruma otoritesi olan İrlanda Veri Koruma Komisyonu’ndan değil, Norveç veri koruma otoritesinden EDPB’ye yapılan acil bir başvurudan kaynaklandı.

Sırada Ne Var?

GDPR’ın 64. maddesi uyarınca, Norveç, Hollanda ve Almanya’nın Hamburg eyaletinin veri koruma yetkilileri EDPB’den ‘öde veya rıza göster’ modelinin yasallığına, yasal değilse ise şirketin hizmetlerini ücretsiz olarak sunmaya zorlanabilip zorlanamayacağına vb. sorular kapsamında bir görüş bildirmesini istedi.

Normal prosedür, EDPB’nin sekiz hafta içinde basit çoğunlukla bir pozisyon almasıdır. Ancak, konunun karmaşıklığı göz önüne alındığında bu süre altı hafta daha uzatılabilir. EDPB’nin önündeki sorular Meta üzerinde değil, Avrupa Ekonomik Alanı’ndaki (“European Economic Area”, “EEA”) diğer birçok şirket üzerinde en büyük etkiye sahip olabilir.

Temel ve karmaşık sorular, “uygun bir ücret” gerekliliği ve iş yapma temel hakkı ile gizlilik ve veri koruma hakkı arasında bir denge kurulması ile ilgilidir.  EDPB’ye GDPR ile ilgili birçok önemli soruyu ele alma yetkisi verilmiştir ve yasanın yorumlanması konusunda görüş bildirmesi uygun görünmektedir. Ancak, EDPB’nin içinde faaliyet gösterdiği usul çerçevesinin, tüm EEA için yasayı önemli ölçüde değiştirmekle karşılaştırılabilir sorunlar hakkında görüş bildirecek donanıma sahip olup olmadığını sormak da yerinde olacaktır.

 

GRC LEGAL Yorumu: Hukuka aykırı kişisel veri işleme faaliyetleri sebebiyle gündemden düşmeyen Meta, bu kez de geçtiğimiz aylarda uygulamaya koyduğu ‘öde veya rıza göster’ yöntemiyle piyasaya sürdüğü reklamsız abonelik faaliyeti ile karşımızda. İlgili faaliyetler ise hukuki boyutta, bireylerin temel hak ve özgürlüklerinin korunması karşısında şirketlerin iş yapma temel hakkı ile bir denge kurulması gerekliliğini ortaya koyuyor. Nitekim, şirketler özellikli olarak profilleme faaliyetleri ile yüksek gelirler elde ederek mevcudiyetlerini sürdürüyorlar. Bu doğrultuda, veri koruma otoriteleri tarafından hukuka aykırı olarak yürütülen uygulamalara yönelik olarak aynı doğrultuda kararlar verilmesi ve ilgili şirketlere yol gösterilmesi oldukça önem arz edecektir. Yasal gelişmeler küçük ve orta büyüklükteki işletmeler için pazara giriş engeli oluşturabilecekse de veri koruma otoritelerinin yeni düzenlemeler aracılığı ile bireylerin mahremiyetini önemli derece etkileyen bu uygulamalara yönelik bir aksiyon alması elzemdir.