Noyb ve Wikimedia Europe da dahil olmak üzere iki düzineden fazla dijital ve demokratik hak grubu, STK ve kar amacı gütmeyen kuruluştan oluşan bir koalisyon, Avrupa Birliği’nin veri koruma düzenleyici organına, Avrupa Birliği’nin tartışmalı bir şekilde benimsediği bir taktiği reddetmesi yönünde çağrıda bulundu. Meta, bloğun gizlilik yasalarını aşmak için son girişiminde bulunuyor.
Avrupa Veri Koruma Kurulu (EDPB), vatandaşların kişisel verilerinin işlenmesine yönelik sözde “rıza ya da ödeme” yaklaşımlarına karşı çıkamazsa, bu durum bloğun amiral gemisi veri koruma rejiminde, insanların mahremiyet haklarını zayıflatabilecek ve veri koruma rejimini yeniden şekillendirebilecek ölümcül bir boşluk yaratacaktır. Kuruluşlar, internetin daha da kötüye gittiği konusunda uyarıyor. (Mektubu imzalayanların tam listesi için bu gönderinin alt kısmına bakın.)
Geçtiğimiz yıl AB’de Meta, bloğun Genel Veri Koruma Yönetmeliği (GDPR) kapsamında, daha önce sahip olduğu yasal dayanaklara karşı başarılı mücadelelerin ardından, mikro hedefleme reklamları işini yürütmek için bölgesel kullanıcıların izinlerini takip etmek ve profillerini çıkarmak üzere bölgesel kullanıcıların rızasını alacağını iddia etmeye başladı. aynı amaç için talepte bulunulması (önce bir sözleşmenin ifası; ardından meşru menfaat). Ancak Meta’nın izin sürümü kullanıcılara Hobson’ın seçimi — reklamsız bir abonelik için ayda en az 9,99 € ödemek (Facebook ve Instagram’daki her hesap başına); veya takibini kabul ediyorum.
GDPR’nin, rızanın kişilerin bilgilerinin işlenmesinde geçerli bir yasal dayanak olabilmesi için rızanın özgürce verilmesi gerektiğini şart koşmasına rağmen, başka seçenek mevcut değildir. (Meta burada parasal anlamda ‘ücretsiz’ oynuyor gibi görünüyor; ancak yasa aslında kullanıcıların özgür hisset rıza göstermek ya da rıza göstermemek… bu aslında reklam teknolojisi devinin uydurduğu maliyetli senaryonun tam tersi. gerçek prim gizlilik konusunda.)
STK’lar bu taktiğe “öde ya da tamam” adını veriyor. Ve EDPB ile ilgili dile getirdikleri endişeler, Noyb tarafından birkaç yıldır dile getiriliyor; bunlara en son olarak geçen yıl veri koruma yetkililerine (DPA’lar) sunulan ve Meta’nın yaklaşımını yasa dışı olarak nitelendiren iki GDPR şikayeti de dahil.
Gizlilik hakları grubu aslında yıllardır rıza ya da ödeme (ya da maaş ya da tamam) ile mücadele ediyor; gazeteciliklerini bir politikanın arkasına koyarak kendi kullanıcılarının rızasını alma taktiğini tasarlayan bir dizi Avrupalı haber yayıncısına karşı daha önceki bir dizi mücadeleyi beraberinde getiriyor. Okuyucuların takip etmeyi kabul etmesini veya bir abonelik için onay vermesini talep eden çerez ödeme duvarı. Ve bazı durumlarda haber yayıncıları, yerel veri koruma yetkililerinden tam anlamıyla onay almasalar da, göz kırpma ve baş sallama eşdeğerini aldılar ve devam etmelerine izin verildi. Dolayısıyla bu çerez ödeme duvarlarından daha fazlası bölgedeki haber sitelerinde ortaya çıkıyor.
Ancak Meta gazetecilik işinde değil. Aslında, genellikle yayıncı olduğunu reddediyor ve bunun yalnızca kullanıcıları birbirine bağlayan bir aracı (platform) olduğunu söylüyor. Ancak şimdi yayıncılarla aynı taktiği benimsiyor. (Ve aslında, burada mahremiyete zarar veren bir izleme zaferi şansını koklayan tek reklam teknolojisi devi olmayabilir – örneğin, TikTok’un geçen yıl reklamsız abonelikle ilgili uluslararası testine bakın.)
Demokratik ve dijital haklar ve bilgiye erişim yanlısı gruplardan oluşan koalisyon şimdi bu işe dahil oluyor çünkü bu ayın başlarında bir DPA üçlüsü (Norveç, Hollanda ve Hamburg otoritesi) EDPB’ye şunu talep etti: tartışmalı taktiğe ağırlık vermek için. (Muhtemelen İrlanda’nın DPA’sının burada fiili hava durumunu belirlemesini engellemeye yönelik bir strateji olarak, GDPR’nin tek noktadan hizmet sistemi altında Meta’nın baş gözetim otoritesi konumundadır ve geçen yazdan bu yana onay mekanizmasını gözden geçirmektedir ancak henüz bunun yapılıp yapılmayacağı konusunda bir görüş beyan etmemiştir.) yasaya uygun değil.)
Kurulun bu düzenleyici parçalı çalışmadaki rolü, kanunun nasıl yorumlanması gerektiğine dair görüş ve rehberlik üretmek de dahil olmak üzere, GDPR’nin DPA’lar tarafından uygulanmasını (mümkün olduğunca) uyumlu hale getirmeye çalışmaktır. Yönlendirici organın işlevi göz önüne alındığında, EDPB’nin ‘ödeme ya da tamam’ şeklindeki yükselişe (ve yavaşlamaya) yanıt vermede daha proaktif olması gerektiği öne sürülebilir. Ancak sonuçta üç üyenin eli nihayet zorlandı. Bu ay ‘öde ya da tamam’ seçeneğinin uygun (ya da hayır) olup olmadığı konusunda görüş bildirmenizi talep edin.
Bu ayın başlarında istek hakkında blog yazan Norveç DPA’sı konunun Avrupa’da gizlilik hakları açısından “büyük bir yol ayrımı” olduğu konusunda uyardı. “Verilerin korunması herkes için temel bir hak mı, yoksa zenginlere mahsus bir lüks mü? Cevap gelecek yıllarda interneti şekillendirecek,” diye yazdı otoritenin uluslararası başkanı Tobias Judin.
Geçen hafta bu konuyla ilgili bir soru sorulduğunda EDPB sözcüsü TechCrunch’a şunları söyledi: “Art için bir talep aldığımızı doğrulayabiliriz. 64 (2) Rıza veya Ödeme konusuna ilişkin görüş. Bu, Sanatta belirtilen gereklilikler doğrultusunda genel uygulama konusuna ilişkin bir görüş olacaktır. 64 GDPR.”
Görüşün “Genel Rıza veya Ödeme kavramına bakacağını” ekledi; ve “belirli bir şirkete bakmayacağız” – ancak daha fazla bilgi vermeyi reddetti ve şunları kaydetti: “Devam eden dosyaların ilerleyişi hakkında yorum yapamayız.”
EDPB’nin, 25 Ocak’tan itibaren (DPA’ların talebini aldığı tarihten itibaren) bir görüş bildirmesi için sekiz haftası var. Ancak Norveç otoritesinin belirttiği gibi, bu süre altı hafta daha uzatılabilir (“gerekirse”). Bu da Kurul’un, rıza yasasının bu bağlamda nasıl uygulanacağına ilişkin görüşünü ya Mart ayı sonu ya da en geç Mayıs ayı başında değerlendirmesi gerektiği anlamına geliyor. Bu nedenle, Meta’nınki gibi gözetleme iş modellerine sahip şirketleri ve bölgesel interneti önemli ölçüde etkileyebilecek çok tartışmalı bir konuya ilişkin rehberliğin düşmesinden önce nispeten kısa bir pencere var.
STK’lar, Kurul’a yazdıkları mektupta, “Bu oylamadan son derece kaygılıyız ve EDPB’yi, Konuyla ilgili Temel Veri Koruma Hakkına uygun bir karar almaya çağırıyoruz” dedi. “’Öde ya da tamam’a izin verildiğinde, veri sahipleri genellikle kişisel verilerinin işlenmesini kabul etme ya da reddetme konusunda ‘gerçek ya da özgür seçim’ hakkını kaybederler; bu, GDPR reformunun temel taşıydı ve CJEU tarafından da C kararında defalarca onaylandı. -252/21 Bundeskartellamt [aka Germany’s Federal Cartel Office’s (FCO) case against Meta’s ‘exploitative abuse’ of users’ data].
“’Öde ya da tamam’ ile herhangi bir web sitesi, uygulama ya da tüketiciyle yüz yüze olan diğer şirket, herhangi bir ‘reddetme’ seçeneğine bir fiyat etiketi koyabilir ve böylece veri sahiplerinin büyük çoğunluğunun kişisel bilgilerin kullanımını, paylaşılmasını ya da satılmasını kabul etmesi sağlanır. veya kişisel verilerin kullanımından elde edilen gelirden 100 kat daha pahalı olabilecek bir ücret ödersiniz.”
Mektupta STK’lar ayrıca ‘öde ya da tamam’ yaklaşımının, onu ilk kez uygulamaya koyan, zor durumdaki haber endüstrisinin iş modellerini sürdürmekte başarısız olduğunu ileri sürüyor ve şunu öne sürüyor: “Karlar büyük ölçüde gözetime dayanan büyük reklam ağları ve büyük teknoloji platformlarında kalıyor” iş modeli.”
“‘Öde ya da tamam’a izin verilirse, bu haber sayfaları veya sosyal ağlarla sınırlı kalmayacak, kişisel verilerden rıza yoluyla para kazanma olanağına sahip herhangi bir endüstri sektörü tarafından kullanılacaktır” diye uyarmaya devam ediyorlar. “GDPR, endüstri sektörü başına farklı bir muamele sağlamamaktadır. Uygulamada bu, yüksek Avrupa veri koruma standardı olan GDPR’yi başarılı bir şekilde baltalayacak ve gözetim kapitalizmine karşı tüm gerçekçi korumaları ortadan kaldıracaktır.”
Mektupta ayrıca Meta’nın, Yönetim Kurulu’nun görüşünü bildirecek oylamalarda maaş veya onayın desteklenmesi için bireysel DPA’lar üzerinde lobi faaliyeti yürüttüğü iddiaları da gündeme geliyor.
Görüşte benimsenen pozisyonu belirlemek için Yönetim Kurulu üyelerinin oyu alınacak ve her AB Üye Devleti, organdaki bir temsilci DPA aracılığıyla bir oy alacak. EDPB resmi görüşlerinde fikir birliğini hedefliyor ancak yalnızca basit çoğunluğa ihtiyaç var. Çoğu üye DPA’nın ‘öde ya da tamam’ fikrine karşı çıkıp çıkmadığı ya da gerçekten destekleyip desteklemediği de açık değil. Dolayısıyla oylamanın hangi yöne gideceğini tahmin etmek zor, dolayısıyla STK’lar endişeleniyor. (Daha önce DPA’ların rıza veya ödeme konusunda yayınladıkları bazı görüşlere burada değinmiştik.)
“Biz… EDPB’yi ve tüm SA’ları teşvik ediyoruz [supervisory authorities] Kuruluşlar, GDPR’de önemli bir boşluk yaratılmasını önlemek için ‘öde ya da tamam’a kesin bir şekilde karşı çıkmaları gerektiğini” yazıyor. “EDPB’nin görüşü, önümüzdeki yıllarda veri korumanın ve internetin geleceğini şekillendirecek. Görüşün, veri sahiplerine, kişisel verilerinin işlenmesi konusunda gerçekten ‘gerçek ve özgür bir seçim’ hakkı tanıması son derece önemlidir.”
Her ne kadar önümüzdeki aylarda GDPR’nin bu alanda nasıl uygulanacağını yönlendirmede Kurul’un rehberliği önemli olsa da, rızanın yasal sınırları konusunda nihai dünya olmayabilir. Bunun yerine, AB’nin en yüksek mahkemesi olan Adalet Divanı’ndan (CJEU) konuya kesin sınırlamalar getirmesi istenecek gibi görünüyor.
Mahkeme, geçen yaz, Meta’nın veri toplamasına karşı çıkan, “gerekirse” olasılığına izin veren veri toplamasına karşı çıkan yukarıda bahsedilen Alman FCO davasıyla ilgili bir başvuruda geçici olarak bahsettikten sonra, meşhur kediyi rıza veya maaş karşılığında güvercinlerin arasına atmıştı. İzleme ve profil oluşturmanın bulunmadığı eşdeğer bir alternatif hizmete erişim için “uygun bir ücretin” alınması.
“Gerekli” ve “uygun” başlıca uyarılardır ancak Meta, ‘rıza veya ödeme’ seçeneğinin kullanıma sunulmasını haklı çıkarmak için hemen devreye girdi. Oysa Noyb bu sözü yalnızca bir yörünge hükmü – ve burada son sözün ABAD’dan rıza çizgisinin tam olarak nerede (ve nasıl) olduğunu belirlemesini isteyen gelecekteki bir yönlendirmeyi önermeye devam ediyor.
Ancak bloğun yüksek mahkemesine yapılacak herhangi bir başvurunun karara varması muhtemelen yıllar alacak. Bu arada Kurulun görüşü de kendi ayakları üzerinde duracak ve yakın gelecekte hem web kullanıcıları (gizlilik isteyen) hem de reklam teknolojisi devleri (insanların verilerini isteyen) için tartışmalı ve etkili bir konu hakkındaki gelişmeleri şekillendirecek. İşte hak gözlemcilerinin tedirgin olmasının nedeni de yine bu.
Riskler kesinlikle yüksek: Avrupalıların mahremiyet hakları açısından; bloğun – sonunda – kendi yasalarını uygulayabileceğini ve temel hakları mahremiyet düşmanı Büyük Teknoloji iş modellerine karşı koruyabileceğini göstermesi ihtimali için; ve Meta gibi teknoloji devleri, tek alternatifi elde edilemez bir lüks haline getirerek ve her zaman kazanacakları bir ‘seçim’ çerçeveleyerek kitlesel gözetleme mikro hedefleme reklam işlerini isteksiz kullanıcılara dayatmaya çalışıyor.
Noyb sözcüsünün önerdiği gibi, EDPB’nin “Büyük Teknoloji lehine” bir görüşü, tartışmalı “öde ya da tamam” modelinin daha da yayılmasına ve sağlamlaşmasına olanak tanıyarak daha iyi (kullanıcı yanlısı ve bilgi yanlısı) iş modellerinin olasılığını ortadan kaldırabilir. günümüzün antisosyal medyasının ve çevrimiçi zehirliliklerinin çoğunun arkasında gizlenen veri endüstrisi takip kompleksinin yerini alıyor.
Mektupta aynı zamanda Kurul onayının veya ödemenin diğer sektörlere de sirayet edebileceği uyarısı yapılıyor; bu durum, web kullanıcılarının faaliyetleri ve ilgi alanları izlenmeden ve kaydedilmeden ve dikkatleri dilimlenip etiketlenip satılmadan bilgiye özgürce erişme kabiliyetini daha da etkileyebilir. ticari kazanç.
Son beş yılı aşkın GDPR yaptırımı bir şeyi gösterdiyse, o da çevrimiçi yanlışları bir kez işlendikten sonra ortadan kaldırmaya çalışmanın, kazanılması neredeyse imkansız bir savaş olduğudur. Bu nedenle tüm gözler EDPB’nin hamlesinde olacak. Önümüzdeki haftalarda üreteceği görüş, tüm bu geçmişteki başarısızlıkları güçlendirebilir ve Meta’nın Dublin Genel Merkezi’nde şampanya mantarlarının patlamasına yol açabilir. Veya – muhtemelen – yıllardır süren gizlilik hakları çıkmazından bir çıkış yolu açabilir.
İşte EDPB’ye gönderilen mektubu imzalayan STK’ların tam listesi:
- ApTI – Teknoloji ve İnternet Derneği, Romanya
- Özgürlük Parçaları
- Kurumsal Avrupa Gözlemevi (CEO)
- Daphne Caruana Galizia Vakfı
- Demokrasiyi Savun
- DFRI – Dijital Fritöz ve Hızlandırma için Geçiş
- Dijital Haklar İrlanda
- Državljan D / Vatandaş D
- Deutsche Vereinigung für Datenschutz
- Elektronik Sınır Norveç
- Eko
- Elektronik Gizlilik Bilgi Merkezi (EPIC)
- Avrupa Kamu Hizmetleri Federasyonu (EPSU)
- epicenter.works – dijital haklar için
- Eticas Vakfı
- Forbrugerrådet Tænk/Danimarka Tüketici Danışmanı
- Forbrukerrådet (Norveç Tüketici Konseyi)
- Hermes Merkezi
- Homo Dijitalis
- İrlanda Sivil Özgürlükler Konseyi
- IT-Pol Danimarka
- #jesuisla
- noyb – Avrupa Dijital Haklar Merkezi
- Panoptykon Vakfı
- Halkın Katılımı için Kaynak Merkezi
- Stichting Onderzoek Marktinformatie
- Wikimedia Avrupa
- Xnet, Demokratik Dijitalleşme Enstitüsü