• Avrupa Birliği’nin en yüksek mahkemesi, Meta’nın veri saklama politikalarına yönelik bir gizlilik itirazını onayladı.

• Cuma günü verilen karara göre, Facebook gibi sosyal ağlar, kişilerin bilgilerini reklam hedefleme amacıyla süresiz olarak kullanamaz.

• Bu karar, Meta ve diğer reklam gelirli sosyal ağların bölgedeki faaliyetlerini yürütme biçiminde önemli değişikliklere yol açabilir.

GDPR ve Veri Saklama Sınırlamaları

AB’nin Genel Veri Koruma Yönetmeliği’nde (GDPR) yer alan veri minimizasyonu ilkelerine uymak için kişisel verilerin saklanabileceği süreye ilişkin sınırlamalar uygulanmalıdır. Bu kuralların ihlali, küresel yıllık cironun %4’üne kadar para cezasına yol açabilir. Bu da Meta’nın durumunda milyarlarca Euro’luk cezalar anlamına gelebilir. (Meta zaten Büyük Teknoloji GDPR ihlalcilerinin liderlik tablosunun en üstünde yer alıyor.)

Avrupa Adalet Divanı (CJEU) kararı, Nisan ayında bir mahkeme danışmanı tarafından yayınlanan ve reklam hedefleme için kişisel verilerin saklanmasına ilişkin sınırlamaları destekleyen daha önceki bir görüşün ardından geldi.

Meta’dan Açıklama:

Konuyla ilgili görüşü sorulan Meta sözcüsü Matt Pollard, şirketin tam karar metnini beklediğini söyledi: “Mahkemenin kararının yayınlanmasını bekliyoruz ve zamanı geldiğinde daha fazla bilgi paylaşacağız. Meta gizliliği çok ciddiye alıyor ve gizliliği tüm ürünlerimizin merkezine yerleştirmek için beş milyar Euro’dan fazla yatırım yaptı. Facebook’u kullanan herkes, bilgilerini nasıl kullandığımızı yönetmelerine olanak tanıyan çok çeşitli ayarlara ve araçlara erişebilir.”

Reklam Gelirlerinde Potansiyel Kayıp

Reklam teknolojisi devi, mikro hedefli reklam hizmetleri satmak için hem kendi hizmetlerinde hem de çerezler, pikseller ve sosyal eklentiler dahil olmak üzere bir izleme teknolojileri ağı aracılığıyla web’de sosyal ağlarının kullanıcılarını izleyerek ve profillerini çıkararak para kazanıyor. Bu nedenle, işletmesi için önemli bir bölgede web kullanıcılarının profillerini sürekli olarak çıkarma yeteneğine getirilen herhangi bir sınırlama, gelirine zarar verebilir.

Geçen yıl Meta, küresel reklam gelirinin yaklaşık %10’unun AB’de üretildiğini belirtmişti.

Schrems ve Facebook Arasındaki Mücadele Devam Ediyor

CJEU kararı, Avrupalı gizlilik savunucusu Max Schrems’in Facebook’un veri toplama ve reklam için yasal dayanağına itirazda bulunduğu Avusturya’daki bir mahkemeden gelen bir başvuruyu takiben geldi.

Schrems’in gizlilik hakları kar amacı gütmeyen kuruluşu noyb tarafından yayınlanan bir açıklamada, avukatı Katharina Raabe-Stuppnig şunları yazdı: “Bu sonuç beklenen bir şey olsa da karardan çok memnunuz. Meta temelde 20 yıldır kullanıcılar üzerinde devasa bir veri havuzu oluşturuyor ve bu her geçen gün büyüyor. Ancak AB hukuku ‘veri minimizasyonu’ gerektiriyor. Bu kararın ardından, kullanıcılar reklamlara izin verse bile Meta’nın veri havuzunun yalnızca küçük bir kısmının reklam için kullanılmasına izin verilecek. Bu karar, sıkı veri silme uygulamalarına sahip olmayan diğer tüm çevrimiçi reklam şirketleri için de geçerlidir.”

Meta’nın Veri Saklama Uygulamalarında Değişiklik Yapması Gerekiyor

Noyb’a göre, Meta’nın reklam işletmesine yönelik ilk itiraz 2014 yılına dayanıyor, ancak Avusturya’da 2020 yılına kadar tam olarak görüşülmedi. Avusturya yüksek mahkemesi daha sonra 2021’de CJEU’ya birkaç yasal soru yöneltti. Bunlardan bazıları, Temmuz 2023 CJEU kararında Meta/Facebook’a yönelik ayrı bir itirazla yanıtlandı. Bu karar, şirketin insanların verilerini reklamlar için işlemek üzere “meşru menfaat” iddiasında bulunma yeteneğini ortadan kaldırdı. Kalan iki soru şimdi CJEU tarafından ele alındı ve bu, Meta’nın gözetim tabanlı reklam işletmesi için daha kötü bir haber. Sınırlamalar geçerli.

Kararın bu bileşenini bir basın açıklamasında özetleyen CJEU şunları yazdı: “Facebook gibi bir çevrimiçi sosyal ağ, zaman kısıtlaması olmaksızın ve veri türüne bakılmaksızın, hedefli reklam amacıyla elde edilen tüm kişisel verileri kullanamaz.”

Hassas Verilerin Kullanımı Yasaklandı

CJEU, Schrems’in davasının bir parçası olarak Avusturya mahkemesi tarafından kendisine yöneltilen ikinci bir soruya da değindi. Bu, veri sahibi tarafından “açıkça kamuya açıklanmış” hassas veriler ve hassas özelliklerin bu nedenle reklam hedefleme için kullanılıp kullanılamayacağı ile ilgili.

Mahkeme, GDPR’nin amaç sınırlama ilkesini koruyarak, bunun mümkün olmadığına karar verdi.

Raabe-Stuppnig, “Kişisel verilerin hukuka aykırı işlenmesini kamuoyunda eleştirdiğiniz anda veri koruma hakkınızı kaybederseniz, bu ifade özgürlüğü üzerinde büyük bir caydırıcı etki yaratır” diye yazdı ve “CJEU’nun bu görüşü reddetmesini” memnuniyetle karşıladı.

Meta’nın cinsel yönelim, sağlık verileri ve dini görüşler gibi hassas kişisel bilgiler olarak bilinen özel kategori verileri kullanımı hakkında sorulan Pollard, şirketin bu bilgileri reklam hedefleme için işlemediğini iddia etti ve “Kullanıcıların bize sağladığı özel kategori verileri reklamları kişiselleştirmek için kullanmıyoruz” diye yazdı. “Ayrıca, şartlarımızda reklam verenlerin hassas bilgiler paylaşmasını yasaklıyoruz ve tespit edebildiğimiz potansiyel olarak hassas bilgileri filtreliyoruz. Ayrıca, kullanıcılar tarafından hassas olarak algılanan konulara dayalı tüm reklam veren hedefleme seçeneklerini kaldırmak için adımlar attık.”

Yapay Zeka Eğitimi İçin Veri Kullanımı Endişesi

CJEU kararının bu bileşeni, sosyal medya hizmeti operasyonunun ötesinde bir öneme sahip olabilir, çünkü Meta dahil olmak üzere teknoloji devleri son zamanlarda kişisel verileri yapay zeka eğitim materyali olarak yeniden kullanmak için çabalıyor. İnterneti taramak, yapay zeka geliştiricilerinin büyük dil modelleri ve diğer üretken yapay zeka modellerini eğitmek için gereken büyük miktarda veriyi elde etmek için kullandıkları bir başka taktik.

Her iki durumda da, insanların verilerini yeni bir amaç (yapay zeka eğitimi) için almak, GDPR’nin amaç sınırlama ilkesinin ihlali olabilir.