Meta’ya Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) uymadığı için başka bir yasa tasarısı daha geldi – ama bu çok saçma! Metaya ait mesajlaşma platformu WhatsApp, belirli kişisel veri işleme türleri için yasal bir temele sahip olmadığı için teknoloji devinin bölgedeki önde gelen veri koruma düzenleyicisi tarafından 5,5 milyon Euro (6 milyon doların biraz altında) para cezasına çarptırıldı.
Aralık ayında, Meta’nın baş düzenleyicisi İrlanda Veri Koruma Komisyonu’na (DPC), Avrupa Veri Koruma Kurulu’nun (EDPB) bağlayıcı bir kararıyla bu şikayet hakkında (Mayıs 2018’e kadar uzanan) nihai bir karar vermesi emri verildi. – Facebook ve Instagram’a yönelik diğer iki şikayetle birlikte.
Bu iki nihai karar, DPC’den bu ayın başlarında toplam 310 milyon avroluk cezaları açıkladığında ortaya çıktı; ve bu reklamların işlenmesi için geçerli bir yasal dayanak bulması için Meta’ya üç ay süre verdi. Ancak son iki GDPR kararı, Meta’nın davranışsal reklamcılık (ana iş modeli olarak da bilinir) yayınlamak üzere kullanıcı verilerini işlemek için geçerli bir yasal temele sahip olmaması sorununu ele alırken, WhatsApp kararıyla İrlanda, reklamların işlenmesine ilişkin yasallık sorununu tamamen ortadan kaldırmış görünüyor – çünkü araştırması, Meta’nın “hizmet iyileştirmeleri” ve “güvenlik” için iddia ettiği yasal dayanağa odaklandı.
Burada Meta (benzer şekilde) bir sözleşme gerekliliği iddiasına güvenmeye çalışmıştı – ancak İrlanda şimdi (EDPB emriyle) yapamayacağını gördü.
DPC, WhatsApp’a bu veri işleme amaçlarına yönelik yollarını düzeltmesi için altı ay süre verdi. Yani, verileri yasal olarak işlemenin bir yolunu bulması gerekecek (belki kullanıcılara bu tür amaçlara izin verip vermediklerini sorarak ve istemiyorlarsa verilerini işlemeyerek).
Ancak düzenleyici, DPC’ye WhatsApp’ın reklamlar için kullanıcı (meta) verilerini işleyip işlemediğini araştırmasını söyleyen paralel bir EDPB talimatına göre hareket etmeyi reddetti. Ve bu, asıl şikayetçi tarafından, çok eleştirilen İrlandalı düzenleyici tarafından bir başka dikişin daha atıldığına dair yeni çığlıklara yol açtı.
İçinde basın bülteni, noyborijinal stratejik şikayetlerin arkasındaki kar amacı gütmeyen gizlilik hakları hiçbir yumruk atmıyor – İrlanda’nın bu noktada esasen EDPB’ye parmak attığını savunuyor.
“DPC’nin 4,5 yıllık bir prosedürden sonra davanın özünü nasıl görmezden geldiğine şaşırdık. DPC, EDPB’nin bağlayıcı kararını da açıkça görmezden geliyor. Onursal başkanı Max Schrems, tipik olarak özlü ve keskin bir ifadeyle, DPC’nin sonunda AB ortak yetkilileriyle ve AB ve İrlanda yasalarının gereklilikleriyle tüm bağlarını kopardığı görülüyor.
WhatsApp’taki mesajlaşma içeriği uçtan uca şifrelenmiş olsa da – bu, Meta’nın Signal protokolünü uygulamasına güvendiğiniz ve bu bilgilerin onun meraklı gözlerinden korunması gerektiği anlamına gelir – sosyal medya devi, kullanıcıları izleyerek yine de kullanıcılar hakkında fikir edinebilir. WhatsApp meta verileri (namı diğer, kim kiminle, ne sıklıkla konuşuyor vb.) izleme teknolojileriyle tohumlanmış)… Yani, temel olarak, Meta’nın veri toplama ağı uzun (ve geniş).
Bu, WhatsApp kullanıcılarının verilerini pazarlama amaçlarıyla nasıl işleyebileceği ve bu tür herhangi bir işleme için hangi yasal dayanağa dayandığı hakkında kesinlikle sorulması gereken sorular olduğu anlamına gelir.
WhatsApp kullanıcıları, 2021’de, platformun, kullanıcıların hizmeti kullanmaya devam etmek için kabul etmeleri gerektiğini söylediği Şartlar ve Koşullarda bir güncelleme duyurduğunda başlayan büyük tartışmayı hatırlayabilir. Güncellenen şartlarda tam olarak neyin değiştiği net değildi. Ama her ne oluyorsa, Meta kesinlikle WhatsApp kullanıcılarına bu konuda özgür bir seçim hakkı vermiyordu! Ve bu konudaki düzenleyici dikkat, AB kullanıcılarının kabul etmesini (veya ayrılmasını) talep eden agresif pop-up’lar göndermeyi bırakan Meta tarafından biraz tırmanış gibi görünen bir şeye yol açarken, tüm bölüm tam olarak ne yaptığına dair yaygın bir kafa karışıklığına yol açtı. WhatsApp kullanıcı verileriyle (ve yasal olarak bunu nasıl yapıyordu).
Bölüm ayrıca bazı tüketici koruma şikayetlerine yol açtı. Bu da geçen yaz Avrupa Komisyonu’nun şirkete kafa karıştırıcı Şartlar ve Koşulları düzeltmesi ve tüketicileri iş modeli hakkında “açıkça bilgilendirmesi” için bir ay vermesine yol açtı.
WhatsApp’ın Şartlar ve Koşulları etrafındaki kafa karışıklığının ve güvensizliğin hiçbirine, kullanıcı verilerinin Facebook ile senkronize edilmesiyle ilgili çok daha erken bir U dönüşü yardımcı olmadı – platform, bir kurucunun bu akışları asla geçmeme taahhüdünü tersine çevirdiğinde. Kısacası, bu bir karmaşa ve Avrupa düzenleyicilerinin temizlediklerini iddia edemeyecekleri bir karmaşa.
Yine de, devam eden tüm kafa karışıklığına ve gizlilik endişelerine rağmen, DPC, WhatsApp’ın reklamlar için kullanıcı verilerini nasıl işlediğine düzgün bir şekilde bakmakla olağanüstü ilgisiz görünüyor.
Noyb, düzenleyiciyi şikayetinin bu ana bileşenini esasen görmezden gelmekle suçlayarak, “DPC artık 4,5 yıllık prosedürü, verilerin güvenlik amacıyla ve hizmet iyileştirme için kullanılmasına ilişkin yasal dayanağın küçük sorunlarıyla sınırlandırdı” diye yazıyor. “Böylece DPC, WhatsApp verilerini Meta’nın diğer şirketleriyle (Facebook ve Instagram) reklam ve diğer amaçlarla paylaşmanın ana sorunlarını görmezden geliyor.”
DPC’ler basın bülteni nihai kararını duyurmak, davranışsal reklamcılıktan bahsetmekten neredeyse tamamen kaçınıyor – finale kadar, cümle ortaya çıkana kadar. Ancak yalnızca EDPB’nin talimatına atıfta bulunduğu için – “WhatsApp IE’ler hakkında yeni bir araştırma yapmak için” [Ireland’s] özel kişisel veri kategorilerini işleyip işlemediğini (Madde 9 GDPR), davranışsal reklamcılık amacıyla, pazarlama amaçlarıyla ve ayrıca üçüncü taraflara ölçütlerin sağlanması ve değiş tokuş için verileri işleyip işlemediğini belirlemek için hizmetindeki işleme operasyonları hizmet iyileştirmeleri amacıyla ve GDPR kapsamındaki ilgili yükümlülüklere uyup uymadığını belirlemek için bağlı şirketlerle veri paylaşımı.”
Bu nedenle, İrlanda’nın WhatsApp kullanıcıları adına ısırgan otunu kavraması ve Meta’nın E2EE mesajlaşma platformuna sahip olmasının kullanıcıların gizliliği için gerçekten ne anlama geldiğine dair net bir resim çizmek için veri akışlarını takip etme fırsatı vardı. (Ve unutmayın, Meta’nın davranışsal reklam hedefleme imparatorluğu şu anda AB’de Facebook ve Instagram’da reklam işlemek için yasal bir temelden yoksundur.)
Ancak İrlandalı düzenleyici, WhatsApp’ın veri işlemesini soruşturmak yerine, avukatlarına EDPB’nin bağlayıcı kararına itiraz etmeleri ve mahkemede iptal ettirmeleri talimatını vermeyi seçti.
Güncelleme: Meta şimdi DPC kararına yanıt verdi – bize bir WhatsApp sözcüsüne atfedilen ve itiraz edeceğini onayladığı şu ifadeyi gönderdi:
Naber insanları koruyan uçtan uca şifreleme ve gizlilik katmanları sağlayarak özel mesajlaşma konusunda sektöre öncülük etmiştir. Hizmetin çalışma şeklinin hem teknik hem de yasal olarak uyumlu olduğuna kesinlikle inanıyoruz. Hizmet iyileştirme ve güvenlik amaçları için sözleşme gerekliliğine güveniyoruz çünkü insanların güvenliğini sağlamanın ve yenilikçi bir ürün sunmanın hizmetimizi yürütmenin temel bir sorumluluğu olduğuna inanıyoruz. Karara katılmıyoruz ve temyize gitmeyi düşünüyoruz.