Gizlilik kabusları söz konusu olduğunda Pinterest’in akla gelen ilk sosyal uygulama olması pek mümkün değil. Ancak görsel keşif motorunun izleme reklamlarını kullanması, Avrupa’daki kar amacı gütmeyen gizlilik hakları kuruluşunun en son şikayetinin hedefidir noybkullanıcılardan reklam amacıyla izlenilmesi ve profilinin çıkarılması konusunda onay alamayarak bloğun Genel Veri Koruma Yönetmeliğini (GDPR) ihlal etmekle suçluyor.
GDPR, teyit edilen ihlaller için küresel yıllık cironun %4’üne varan cezalara izin veriyor; dolayısıyla bu tür şikayetler, teknoloji devleri için önemli yaptırımlara yol açabilir.
Pinterest, çevrimiçi gizlilik sorunlarıyla ilgili olarak – özellikle diğer ana akım reklam destekli sosyal hizmetlerle (Facebook gibi) karşılaştırıldığında – genel olarak dikkatlerden kaçmış olsa da, trajik olayda şirketin takip ve profil oluşturma işlemlerinin merkeze çekildiğini hatırlamakta fayda var. İngiltere’deki kız öğrenci Molly Russell’ın 2017’deki intiharı. Pinterest de dahil olmak üzere bir dizi uygulama tarafından sosyal yayınlarına intihar yanlısı içerik aktarılmıştı.
Birleşik Krallık’taki bir adli tıp görevlisinin 2022’de hazırladığı ‘Gelecekteki Ölümlerin Önlenmesi’ raporu, onun ölümünde “çevrimiçi içeriğin olumsuz etkilerinin” bir faktör olduğunu ortaya çıkardı. Bu, reklamlarla finanse edilen platformların kullanıcıların yaygın takibinin ve profil oluşturmasının bir sonucuydu.
Fransa’nın veri koruma otoritesine sunulan Pinterest’e karşı noyb destekli şikayette platform aynı zamanda GDPR veri erişim talebini yerine getirmemekle de suçlanıyor. Şikayetçi hakkında üçüncü taraflarla paylaşılan veri kategorileri hakkında bilgi verilmedi.
GDPR, şirketlerin insanların verilerini işlemek için geçerli bir yasal dayanağa sahip olma zorunluluğunun yanı sıra, AB’deki bireylere, bilgilerinin bir kopyasını talep etme yeteneği gibi bir dizi erişim hakkı da sağlar.
‘Gizli takip’
Pinterest, meşru menfaat (LI) olarak bilinen reklam hedefleme amacıyla insanların verilerini işlemek için yasal bir temele dayanmaktadır. Ancak Noyb, bu kullanımın GDPR’ye uygun olmadığını savunuyor.
Bu, AB yüksek mahkemesinin Temmuz 2023’te verdiği ve Facebook sahibi Meta’nın LI* aracılığıyla kendi gözetleme reklamları işini yürütebilmesini reddeden kararına işaret ediyor; bu nedenle Pinterest’in kendi “kişiselleştirilmiş reklamlar” işini yürütmek için Avrupalıların onayını alması gerektiğini ileri sürüyor.
Şu anda yaklaşık 130 milyon bölgesel kullanıcıya sahip olan Pinterest, reklamları “kişiselleştirmek” için varsayılan olarak hepsini izliyor.
Avrupa’da bu şekilde takip edilmek ve profilinin çıkarılmasını istemeyen herhangi bir Pinterest kullanıcısı, bunun yerine işlenmesine itiraz etme yönünde aktif bir adım atmalıdır (GDPR, eğer LI yasal dayanak ise kullanıcılara işlemeye itiraz etme yeteneğinin sağlanmasını gerektirir). Noyb’un burada da böyle olması gerektiğine inandığı gibi, bilgilerinin bu şekilde kullanılmasında sorun olup olmadıklarının olumlu bir şekilde sorulması yerine.
Noyb’de veri koruma avukatı olan Kleanthi Sardeli, şikayet üzerine yaptığı açıklamada, “Pinterest Avrupalı kullanıcıları rızalarını istemeden gizlice takip ediyor” dedi. “Bu, sosyal medya platformunun insanların kişisel verilerinden, onlar farkına bile varmadan yasa dışı bir şekilde kâr elde etmesine olanak tanıyor.”
“Görünüşe göre Pinterest, karını en üst düzeye çıkarmak için Avrupa Adalet Divanı’nın (CJEU) kararını aktif olarak görmezden geliyor. Sardeli, ABAD’ın kişiselleştirilmiş reklamcılığın meşru çıkara dayanamayacağını açıkça ortaya koyduğunu ifade etti.
Veri erişim sorunu
Noyb’un Pinterest’e karşı şikayeti, platformun kendisini izinsiz takip ettiğini fark etmediğini söylediği isimsiz bir kullanıcı adına yapıldı.
Pinterest’in izleme özelliğini ancak “gizlilik ve veri” ayarlarına baktığında keşfetti; burada “reklam kişiselleştirmenin” varsayılan olarak açık olduğunu gördü. Ayrıca platformun, reklamların görüntülenmesi için “ziyaret edilen web sitelerinden” ve diğer üçüncü taraflardan gelen bilgileri kullandığını ve bu amaçla sitedeki aktivitelerini takip ettiğini de tespit etti. Kısacası Pinterest gözetim reklamları işinde.
Noyb bir basın açıklamasında, “Bu uygulama, GDPR’nin 2018’de uygulamaya konmasından bu yana açıkça yasa dışıdır” diye yazdı. “C252/21 davasındaki kararında Bundeskartellamt 2023 yılında Avrupa Birliği Adalet Divanı (CJEU), kişiselleştirilmiş reklamcılığın GDPR Madde 6(1)(f) uyarınca meşru menfaate dayandırılamayacağını bir kez daha tespit etti.”
Şikayetçi ayrıca Pinterest’e veri erişim talebinde bulunma adımını da attı. Ancak aldığı verilerin kopyası, noyb’a göre verilerinin alıcıları hakkında herhangi bir bilgi içermiyordu.
“İki ek talebin ardından bile Pinterest, üçüncü taraflarla paylaşılan veri kategorileri hakkında ayrıntılı bilgi sağlayamadı” diye yazdı ve şunu ekledi: “Başka bir deyişle: Pinterest, Madde 15(1) kapsamındaki erişim talebine yeterince yanıt vermedi.” (c) GDPR.”
Şikayet, Pinterest’in reklamlar için işlediği tüm verileri silmesini ve bunu yaptığını kullanıcıları bilgilendirmesini talep ediyor. Şirketin ayrıca şikayetçinin veri erişim talebini de yerine getirmesi gerekiyor. Ek olarak Noyb, gelecekteki GDPR ihlalleri için caydırıcı olacak düzeyde para cezasına çarptırılması için baskı yapıyor.
Şikayete yanıt verilmesi için Pinterest ile iletişime geçildi.
Noyb bu davayı, düzenleyici kurumun (CNIL) rıza konusu da dahil olmak üzere gizlilik şikayetlerini uygulama konusunda güçlü bir üne sahip olduğu Fransa’da açmış olsa da, Pinterest’in bölgesel bir veri koruma komisyonuna sahip olması nedeniyle davanın İrlanda Veri Koruma Komisyonu’na devredilmesi mümkün. Genel merkez Dublin’de. (Ve GDPR’nin AB sınırlarını kapsayan şikayetlerin gözetimini kolaylaştırmaya yönelik “tek noktadan hizmet” mekanizması nedeniyle.)
Ancak Noyb, TechCrunch’a Pinterest’in ABD merkezli kuruluşuna karşı şikayette bulunduğunu söyledi ve şirketin gizlilik politikasında işleme için ortak veri denetleyicileri olarak hem Pinterest Avrupa hem de Pinterest, Inc’in (yani ABD kuruluşu) belirtildiğine dikkat çekti.
“Bu nedenle CNIL yetkili makamdır ve şikayeti İrlanda’ya iletmemelidir” dedi. “Fakat yine de bunu yapıp yapmayacaklarını elbette bilmiyoruz.”
* Meta o zamandan beri izleme reklamları için izne dayalı bir yasal temele geçti. Ancak bu, kullanıcıları reklamsız bir abonelik için ödeme yapmak veya hizmetlerine ücretsiz erişim için izleme reklamlarını kabul etmek arasında seçim yapmaya zorlayan bir ‘rıza’ versiyonudur; bu da artık gizlilik, tüketicinin korunması ve rekabet şikayetlerine tabidir. Ama bu tamamen başka bir hikaye.