Açık Rızayı Şarta Bağlayabilir (mi)siniz (?)
Aynı zamanda Avrupa Veri Koruma Kurulu (EDPB) Başkanı olan Dr Andrea JELINEK tarafından yönetilen, Avusturya Veri Koruma Otoritesi (DSB), reklam tabanlı iş modelinde kişisel verilerin kullanımı için önemli bir karara imza attı.
DSB, bir Avusturya gazetesi aleyhinde yapılan şikayeti inceleyerek bir hizmetin sunulmasını açık rıza verme şartına bağlama yasağının (“bağlama yasağı”, GDPR m.7/4) etrafından dolaşmasına imkan veren bir karar verdi. Karar, hizmet sağlayıcının kullanıcıya seçenek olarak açık rızasını serbestçe verebildiği makul bir ücrete sahip bir ek hizmetin sunması durumunda açık rızayı şarta bağlanmış saymıyor (Kesinleşmiş Karar no.:(case no. DSB-D122.931/0003-DSB/2018).
Gazete söz konusu olayda internet sitesi okuyucularına özel olmak üzere şu seçenekleri sunuyordu (a) kişiselleştirilmiş reklam verilebilmesi için açık rızaya verilmiş sayılan çerezlerle birlikte gazeteyi ücretsiz okuyun (b) ya da ayda 6 Avro ödeyerek isterseniz kişisel verileriniz için açık rıza vermeyin. DSB, yaptığı analizde veri sahibinin “zarar vermeden” açık rızayı reddedip red edemeyeceğine odaklandı ( GDPR, Gerekçe 42). DSB, kişinin açık rıza vermemesinin sonucunun (a) gazetenin internet versiyonuna reklam olmadan erişmek için ayda 6 Avro ödemek (b) başka bir internet gazetesini takip etmek olduğunu değerlendirdi. Her iki sonucun da veri sahibi için “belirgin derecede zarar verici” sonuçlar oluşturmadığına karar verdi.
Dolayısıyla, gazetenin açık rızayı bu şekilde alması DSB tarafından uygun sayılmış oldu. DSB’nin bu kararı Avrupa Veri Koruma Kurulu çalışma grubunun rıza hakkındaki kılavuzuna da tamamen uygun (WP259 rev.01). 29. Madde Çalışma Grubunun bu kılavuzuna göre veri sahipleri aşağıdaki iki seçenekten birisini seçebiliyorsa alınan rızaları da geçerli olabilecektir.
- ek amaçlar için kişisel verilerin kullanımasına ilişkin rıza vermeyi de içeren hizmetler,
- aynı veri sorumlusu tarafından sunulan ek amaçlar için ayrıca rıza alınmasını içermeyen hizmetler,
Kılavuza göre, her iki hizmetin birbirine “gerçekten denk olmas” yeterli. Burada hemen not edelim ki, kılavuz, rızaya gerek duyulmayan ikinci seçeneğin ücretsiz olmasına dair bir şart getirmiyor. Aslında bu şart kılavuzun 2017 taslağında vardı. Ancak kılavuz Nisan 2018’de onaylandığında bu küçük detay çıkarılmıştı.Bununla birlikte, Avusturya Veri Koruma Otoritesi DSB’nin tam aksine karar veren başka bir veri koruma otoritesi daha var. Birleşik Krallık Bilgi Komisyonerinin (ICO) bir Amerikan gazetesine ilişkin benzer bir durumu incelerken farklı bir sonuca vardı. Kasım 2018’de gazeteyle paylaşılan gayrıresmi bir mektupta, ICO, kullanıcıların özgün ve belirgin bir seçim imkanı bulunması gerektiğini, rıza gerektirmeyen alternatif seçeneğin de ücretsiz olması gerektiğine karar vermişti. Bu iki zıt karar GDPR’ın sonuçlarının ne kadar öngörülmez olabildiğini göstermesi bakımından ilgi çekici.
Yine de Avusturya DSB Genel Müdürü’nün 2023 yılına kadar Avrupa Veri Koruma Kurulu’nun (EDPB) da Başkanı olmaya devam edeceğini düşününce, Avusturya’nın aldığı önemli kararın AB genelinde de standart olarak kabul edilebileceğini düşündürdüğünü de söyleyelim. Bu karar her ne kadar şarta bağlama yasağının çevresinden dolaşmak içn başka olasılıkların önünü kapatmıyor olsa da, reklam tabanlı iş modelleri için açık ve takip edilebilir bir yol da sunmuş oluyor. Buna göre iki türlü online hizmet sunulabilir:
- veri sahibinin kişiselleştirilmiş reklamlar konusunda rızasını gerektiren reklamla finanse edilen bir model,
- belirli ve yeterli bir ücretin ödenmesini gerektiren reklamdan arındırılmış bir model.
Avusturya’nın şarta bağlama yasağına getirdiği bu yorum online hizmetlerin de bir gelir elde etmek zorunda olduğu gerçeğini kabul etmiş oluyor. Bu gelir ücret ödemeyen kullanıcıların kişisel verilerini paylaşmalarıyla elde edilecek reklam gelirleri olabileceği gibi, belirli bir ücretin tahsili yoluyla da olabilir. DSB böyle bir karar vererek veri korumaya ilişkin temel hak ile teşebbüs hürriyeti arasında kurulması gereken dengeyi de kurmuş oluyor (Avrupa Birliği Temel Haklar Beyannamesi madde 16).
Bu karar aynı zamanda GDPR alanını diğer yargı alanlarına da yaklaştırmış oluyor. Örneğin ABD’de Federal Ticaret Komisyonu, veri sahibine yeterli seçenekler ve bilgi verildiğinde tüketicinin verilerinin reklam amacıyla toplanılmasına ve kullanılmasına genellikle izin veriyor. Bunu sağlayan mekanizmalardan birisi Dijital Reklam Birliği (“DAA”). Ayrıca, Kaliforniya Tüketici Mahremiyet Yasası (“CCPA”) gibi yeni ortaya çıkan yasal metinler, tüketiciye mahremiyet tercihleri yüzünden farklı davranılmasını genellikle engellemeye çalışıyor. Bunun bir istisnası farklı bir fiyattaki veya seviyedeki hizmet için tüketiciye ait veriler sayesinde tüketiciye sunulan değer arasında makul bir ilişki kurulabiliyorsa mümkün kabul ediliyor.
Bu gelişmeler mahremiyet yasaları ile yorumlanma şekillerinin, ticari bir işletmenin çevrimiçi alanda nasıl iş yürütebileceğine ilişkin temel olgularla mahremiyet yasaları arasında daha fazla uyum üretilmesi gerektiğinin kabul edilmeye başlandığına ilişkin ümit veriyor.
Yazarlar: Dr. Lukas Feiler ve Bernard (Brian) L. Hengesbaugh (Baker McKenzie)
Çeviren : Melih R. Çalıkoğlu
Kaynak : Bakerinform.com
İlk Yayın Tarihi: 25 Ocak 2019