Elon Musk’un eski adıyla Twitter olarak bilinen sosyal medya platformu X, reklam hedefleme araçlarıyla ilgili olarak Avrupa’da yeni bir gizlilik şikayetiyle karşı karşıya. Kar amacı gütmeyen gizlilik hakları kuruluşu tarafından Hollanda veri koruma makamına yapılan şikayet noybX’i kendi kararını uygulamamakla suçluyor reklam kuralları.
X’in Şartlar ve Koşulları, insanların siyasi eğilimlerinin ve/veya dini inançlarının reklamlarla onları hedeflemek için kullanılmasını yasaklasa da, platformundaki bir reklamveren – aslında Avrupa Komisyonu’nun kendisi (awks!) – tam olarak bu tür hassas kişisel verileri kullanabildi kullanıcıları reklamlarla hedeflemek.
Bloğun çalışanları, insanların mesajlarını çocuklara yönelik cinsel istismar materyalleri (CSAM) açısından tarayacak tartışmalı bir yasa teklifini desteklemek için X’in araçlarını bu şekilde kullandı.
Geçen ay bildirdiğimiz gibi Noyb, hazırlanmasına yardımcı olduğu pan-AB kurallarını açıkça ihlal ettiği için Komisyon’a karşı şikayette bulundu. Şimdi bunu X’e karşı da şikayette bulunmak takip ediyor. Felix, “Bu konuyla ilgili ilk şikayetimizi sunmamızın ardından AB Komisyonu zaten X’te reklam yayınlamayı durduracağını onayladı. Ancak genel olarak buna son vermek için birçok kişinin kullandığı bir platform olan X’e karşı yaptırım uygulamamız gerekiyor” dedi. Mikolasch, veri koruma avukatı noyb, Bir açıklamada.
AB’nin, siyasi bağlılık ve dini inançlar gibi hassas kişisel verilerin ne kadar işlenebileceğine dair katı sınırlamalar getiren ve bunu yapmak isteyenlerin söz konusu kişilerin açık rızasını almasını gerektiren Genel Veri Koruma Yönetmeliği’nin (GDPR) yanı sıra, blok yakın zamanda Yürürlüğe giren Dijital Hizmetler Yasası (DSA), kişisel verilerin reklam hedefleme için kullanılmasının izin gerektirdiğini şart koşuyor. Ancak verileri işlenen X kullanıcılarından bilgilerinin bu şekilde kullanılmasını kabul etmeleri açıkça istenmedi.
“[X] Bu özel olarak korunan veriler, insanların AB Komisyonu Göç ve İçişleri Genel Müdürlüğü tarafından önerilen ‘sohbet kontrolü’ için destek toplamaya çalışan bir reklam kampanyasını görüp görmemeleri gerektiğini belirlemek için kullanıldı. [CSAM scanning] Noyb bir basın açıklamasında Hollanda’da” diye yazdı. “Kasım ayında, mikro hedeflemenin bu yasa dışı kullanımı, noyb’un AB Komisyonu’na karşı şikayette bulunmasına neden oldu. Şimdi noyb, X’e karşı bir şikayette bulunuyor. Şirket, ilk etapta bu uygulamayı etkinleştirerek hem GDPR’yi hem de DSA’yı ihlal etti.”
Özellikle ironik bir şekilde, Komisyon aslında X gibi sözde çok büyük çevrimiçi platformlarda (VLOP’lar) DSA uyumluluğunu denetlemekten sorumludur.
Gerçekten de son aylarda, DSA’nın VLOP’lar için yürürlüğe girmesinden bu yana, AB yönetimi X’e uyum konusunda baskı yapıyor – özellikle de İsrail-Hamas savaşıyla ilgili platformda yasa dışı içerik ve dezenformasyonun yayılmasıyla ilgili endişeler nedeniyle. Ancak – yeterince komik – Komisyon, X’ten reklam hedefleme işinin yönetmeliğe uygun olduğunu göstermesini talep etmiş gibi görünmüyor. (Yine de kendi çalışanlarından bazılarının bu kuralları çiğnemekle meşgul olduğu göz önüne alındığında, bu belki de çok da şaşırtıcı değil mi?)
noyb bize, X’e karşı Komisyon’a bir DSA şikayetinde bulunmadığını doğruladı; eylemini Hollanda DPA’ya şikayette bulunmakla sınırladı. Şikayeti göndermek için Hollanda merkezli bir gizlilik kurumunu seçmesinin nedeninin, tartışmalı reklamların ülkedeki X kullanıcıyı hedef alması olduğunu söyledi; ve şikayetçi noyb şikayetin Hollandalı olmasını destekliyor. Bununla birlikte, X’in bölgesel merkezi İrlanda’da bulunuyor; bu nedenle Hollanda yetkilisinin, reklam hedeflemeye yönelik yasa dışı veri işlemeye ilişkin herhangi bir GDPR soruşturması konusunda İrlanda Veri Koruma Komisyonu (DPC) ile temasa geçmesi muhtemeldir.
Peki neden noyb X hakkında Avrupa Komisyonu’na bir DSA şikayetinde bulunmuyor? Kâr amacı gütmeyen kuruluşun bir sözcüsü bize, şu anda yapılan iki veri koruma şikayetinde olduğu gibi bu adımın atılmadığını söyledi; yani, Komisyona karşı EDPS’ye (AB kurumlarının veri koruma mevzuatına uygunluğunu denetleyen Avrupa Veri Koruma Denetçisi) sunulan bir şikayet. tüzük); ve şimdi ulusal bir DPA’ya gönderilen X’e karşı bir dava, bu veri denetçileri arasında “neredeyse aynı bir davada” işbirliğine yol açabilir.
Noyb ayrıca, “Komisyonun DSA kapsamında X’e karşı harekete geçip geçmeyeceği henüz belli değil” diye ekledi.
GDPR ihlallerine ilişkin cezalar küresel yıllık cironun %4’üne kadar ölçeklenebilirken, DSA rejimi %6’ya kadar daha da büyük yaptırımlara izin veriyor. Dolayısıyla, eğer her iki rejim altında da yaptırım tedbirleri alınırsa, Musk’un şirketi düzenleyici yaptırımların çifte olumsuz etkisi ile karşı karşıya kalabilir. (GDPR-DSA sandviçi olan var mı?)
Tartışmalı CSAM teklifi reklamlarının hedeflemesine ilişkin kendi iç soruşturmasına ilişkin bir güncelleme için Komisyonla temasa geçildi; ve VLOP’lara ilişkin DSA’nın uygulayıcısı sıfatıyla, yasa dışı reklamları kabul ettiği için X’e karşı işlem yapıp yapmayacağını sormak. Ancak AB yönetiminin bir sözcüsü “şu anda” bir güncelleme sunmayı reddetti; bunun yerine Komisyon’un iç hizmetlerine X ile ilgili her türlü ücretli iletişimi durdurmalarını tavsiye etme yönündeki önceki kararını yineledi.
X’in İrlanda GDPR gözetimi
Yukarıda belirtildiği gibi, bu arada Noyb’un X’e yönelik GDPR şikayeti muhtemelen İrlanda gizlilik gözlemcisi DPC’nin masasına düşecek.
Musk, Twitter’ı devraldığından ve şirkete (ve ürününe) kendine özgü damgasını vurmaya başladığından beri, DPC, yeni sahibinin bazı tartışmalı kararlarının ardından – Musk’ın dışarı çıkma kararı gibi – kamuoyunda birkaç ses çıkararak yanıt verdi. gazeteciler Twitter verilerine erişiyor; veya önceden bildirimde bulunmaksızın AB’de ücretli bir doğrulama özelliğini kullanıma sunması; ya da DPO istifa ettiğinde gözlemciye bilgi vermemek – ancak İrlandalı düzenleyici şirkete daha sert müdahalelerde bulunmaktan geri durmuş görünüyor. Bu, veri silme ve Musk’un Twitter/X mülkiyetindeki doğrudan mesajların (DM’ler) gizliliği ve güvenliği gibi alanlarda artan gizlilik endişelerine rağmen gerçekleşti.
Ek olarak Musk’un X’i, DPC’nin gözetimi altında İrlanda’da kurulu olmaya devam ediyor. ABD merkezli milyarderin istikrarsız liderliğine ve tek taraflı karar alma mekanizmasına rağmen bu statüyü koruyor; bu durum, AB kullanıcılarını etkileyen ürün kararlarının gerçekten anlamlı yerel girdiler aldığına dair şüpheler uyandırdı, tıpkı X’in ana kuruluşu yerel olarak talep etmesi durumunda olduğu gibi. Bu atama, şirketin GDPR’nin tek noktadan hizmet (OSS) sağladığı kolaylaştırılmış gözetimden yararlanarak AB’deki düzenleme riskini azaltmaya devam etmesine olanak tanıdığı için önemlidir.
Yine, Musk’un devralınmasının ilk aylarında kamuya açık olarak yapılan birkaç endişe ifadesi dışında İrlandalı düzenleyici, şirketin teknesini burada da sallamadı.
Geriye dönüp baktığımızda, GDPR’nin yürürlüğe girmesinden bu yana DPC, Twitter’da yalnızca bir kamu cezası verdi; çünkü şirket, tam üç yıl önce yaptırımın uygulandığı sırada hâlâ aranıyordu. Ceza, bir veri ihlalini derhal bildirmeme nedeniyle yaklaşık 550 bin dolar para cezasından oluşuyordu. Dolayısıyla, Musk’ın gemiyi yönetmeyi devralmasına rağmen platformun bugüne kadar İrlanda’nın gizlilik denetimi altında oldukça sorunsuz bir yolculuk geçirdiğini söylemek doğru olur.
Yine de DPC’nin, X’in reklam hedefleme kurallarını ihlal ettiği yönündeki şikayeti konusunda ne yapabileceğini zaman gösterecek – OSS kurallarına göre muhtemelen göründüğü gibi, noyb’un en son stratejik eyleminin Hollanda DPA tarafından İrlanda’ya yönlendirileceğini varsayarsak. Düzenleyici daha önce, Musk’ın kullanıcıları kişiselleştirilmiş reklamları kabul etmek veya kendisine bir abonelik ödemek arasında seçim yapmaya zorlamayı planladığı söylentisi duyulduğunda, Twitter/X’in reklamlara ilişkin yasal dayanağı hakkındaki endişeleri biraz dikkate almıştı.
X’in kendi reklamveren Şartlar ve Koşullarını yerine getirme konusunda başarısız olduğu kesin bir vaka – eğer gerçekten de Noyb’un şikayeti buna indirgeniyorsa – bundan daha basit görünüyor.