Avrupa’daki tüketici hakları grupları, Google’a karşı yeni bir dizi gizlilik şikayetinde bulundular – reklam devini hesap oluşturma süreci etrafında aldatıcı tasarım yapmakla suçlayarak, kullanıcıları verilerinin kapsamlı ve istilacı bir şekilde işlenmesini kabul etmeye yönlendirdiğini söylüyorlar.
Teknoloji devi, hesap sahiplerini reklam hedefleme amacıyla profiller – görünüşe göre yasal dayanak olarak kullanıcı onayına güveniyor. Ancak AB’nin amiral gemisi veri koruma yasası, Genel Veri Koruma Yönetmeliği (GDPR), tasarım ve varsayılan olarak mahremiyet şartı getirmenin yanı sıra, yasal olması için rızanın nasıl alınması gerektiğine dair net koşullar belirlemektedir.
Bu nedenle, tüketici gruplarının sığır eti – Google’ın aldatıcı tasarımı, kullanıcıları izlemeyi kabul etmeleri için kandırıyorsa.
Teknoloji devinin hesap oluşturma etrafında dağıttığı tasarım seçeneklerinin, kullanıcıların Google’ın onları “kişiselleştirilmiş” reklamlarla hedeflemek için bilgilerini işlemesini, davranışsal reklamcılık için profil oluşturma iznini reddetmekten çok daha kolay hale getirdiğini savunuyorlar.
Takip edilmek için hızlı yol
Şikayetler, Google tarafından “manuel kişiselleştirme” olarak tanımlanan daha fazla gizlilik dostu seçeneğin, kullanıcıların beş adım ve on tıklama (“belirsiz, eksik ve yanıltıcı bilgilerle boğuşma” kendi deyimiyle) yapmasını gerektirdiğini vurgulamaktadır; tüm izlemeyi etkinleştiren ve gizlilik için korkunç hale getiren tek tıklamalı bir “Hızlı kişiselleştirme” seçeneği sunar.
Ayrıca, Google’ın tüketicilere tek bir tıklamayla tüm izlemeyi “kapatma” seçeneği sunmadığına dikkat çekiyorlar ve ayrıca Google’ın bir Android akıllı telefon kurarken olduğu gibi bazı ürünlerini kullanmak için hesap oluşturmayı gerektirdiğini belirtiyorlar.
Diğer durumlarda, kullanıcılar gönüllü olarak bir Google hesabı oluşturabilirler – ancak her iki durumda da teknoloji devi, tüketicileri onları izlemeyi kabul etmeye teşvik eden çarpık seçenekler sunmaya devam ediyor.
Şikayet sahipleri bir basın açıklamasında, “Tüketicinin seçtiği yol ne olursa olsun, Google’ın veri işlemesi şeffaf değil ve adil değil, tüketicilerin kişisel verileri belirsiz ve geniş kapsamlı amaçlar için kullanılıyor.”
GDPR şikayetleri dizisi, Avrupa Tüketici Örgütü olarak da bilinen BEUC üye grubu tarafından koordine edilmektedir.
BEUC uyarınca, Fransa, Çek Cumhuriyeti, Norveç, Yunanistan ve Slovenya’daki üye kuruluşlar da dahil olmak üzere AB Üye Devletleri ve pazarlardaki veri koruma kurumlarına şikayetler yapılmıştır.
Ayrıca, Alman üyesi vzbv’nin – potansiyel olarak bir hukuk davası açmadan önce – Google’a bir uyarı mektubu yazdığını, Hollanda, Danimarka ve İsveç’teki tüketici gruplarının ise uygulamalar konusunda onları uyarmak için ulusal DPA’larına yazdığını belirtiyor.
BEUC Genel Müdür Yardımcısı Ursula Pachl yaptığı açıklamada eylem hakkında şunları söyledi:
“Google’ın tüketicilerin gizliliğini korumakla ilgili iddialarının aksine, on milyonlarca Avrupalı, bir Google hesabına kaydolduklarında gözetim için hızlı bir yola yerleştirildi. Google’ın yaptığınız her şeyi izlemesine ve kullanmasına izin vermek için basit bir adım yeterlidir. Gizlilik dostu ayarlardan yararlanmak istiyorsanız, daha uzun bir süreçten ve belirsiz ve yanıltıcı seçeneklerin bir karışımından geçmelisiniz. Kısacası, bir Google hesabı oluşturduğunuzda, tasarım ve varsayılan olarak gözetime tabi tutulursunuz. Bunun yerine, mahremiyet koruması tüketiciler için varsayılan ve en kolay seçenek olmalıdır.”
Bu, AB tüketici haklarının Google’ın uygulamaları hakkında gizlilikle ilgili ilk şikayeti değil. Ayrıca 2018’de konum verilerinin toplanmasına odaklanan bir şikayette bulundular – ancak Google’ın önde gelen AB veri denetçisi İrlanda Veri Koruma Komisyonu’nun (DPC) bir soruşturma başlatması Şubat 2020’ye kadar sürdü. Ve 2 yıldan fazla bir süre sonra, bu veri araştırması devam ediyor.
Mayıs ayında, DPC’nin komiseri yardımcısı Graham Doyle, TechCrunch’a Google konum verileri sorgulamasıyla ilgili bir taslak kararın “önümüzdeki aylarda” incelenmek üzere diğer DPA’lara sunulmasını beklediğini söyledi. Bununla birlikte, İrlanda’nın yaklaşımı konusunda bir anlaşmazlık varsa, nihai bir fikir birliği kararına varılması için daha aylar sürebilir. Bu nedenle, uzun süredir devam eden bu şikayetin çözümü bu yıl hala gelmeyebilir.
DPC, Google’a karşı uzun süredir devam eden diğer GDPR şikayetleriyle ilgili kararları da henüz yayınlamadı. Mayıs 2019’da araştırmaya başladığı ve şimdi eylemsizlik nedeniyle dava açtığı reklam teknolojisiyle ilgili büyük bir şikayet gibi.
Başka bir şikayet – Google’ın Android mobil platformunda sözde zorunlu izin kullanmasına karşı – DPC’nin bu durumda bir soruşturma açıp açmadığı net olmasa da, Mayıs 2018’e kadar uzanıyor. Fransa’nın veri koruma gözlemcisi CNIL soruşturmaya başladı ve Google’ı, Android’i nasıl çalıştırdığına ilişkin şeffaflık ve rıza ihlalleri nedeniyle Ocak 2019’da 57 milyon dolar para cezasına çarptırdı. (CNIL, Android ile ilgili kararlar muhtemelen Google’ın bölgesel genel merkezinin bulunduğu Dublin’de değil, ABD’de alındığından, bu davada yetkin olduğuna karar verdi.)
Ancak İrlanda, Google’a karşı henüz tek bir GDPR kararı vermedi.
BEUC, DPC’nin teknoloji devine karşı şikayetler konusunda yaptırım uygulamamasından duyduğu hayal kırıklığını gizlemiyor.
Pachl, “Google mükerrer bir suçludur” dedi. “Google’ın konum izleme uygulamalarına karşı şikayette bulunduğumuzdan bu yana üç yıldan fazla bir süre geçti ve sorumlu İrlandalı DPC hala davayla ilgili bir karar vermedi. Bu arada Google’ın uygulamaları özünde değişmedi. Teknoloji devi, tüketicilerin sürekli takibini ve profilini çıkarmaya devam ediyor ve uygulamaları pazarın geri kalanının gidişatını belirliyor.”
Yetkililerden hızlı bir şekilde harekete geçmemiz gerekiyor çünkü en büyük oyunculardan birinin GDPR’yi görmezden gelmesi kabul edilemez” dedi. “Bu dava, AB genelinde veri koruma yetkilileri arasındaki işbirliğine öncelik verilmesi ve Avrupa Veri Koruma Kurulu tarafından desteklenmesi gereken stratejik bir öneme sahiptir.”
Google’ın hesap kullanıcılarını izlemesiyle ilgili sorunlar, reklamcılık devinin üçüncü taraf web siteleri ve uygulamalarda kullanıcıları izlemek için teknolojiler kullandığı çerez tabanlı izlemeden ayrıdır.
İkinci süreç, son yıllarda bazı yaptırımlara yol açan diğer AB şikayetlerinin konusu oldu; Fransa’nın veri koruma gözlemcisi, bloğun eGizlilik Yönergesi kapsamında çerez izlemeyle ilgili ihlaller için Google’a 300 milyon dolara yaklaşan para cezaları verdi. Avrupa’daki web kullanıcılarına gösterdiği çerez izin başlığındaki değişiklikler.
Stratejik şikayet
Pachl’ın Google hesabı kayıt şikayetinin “stratejik öneme sahip” olduğuna ilişkin açıklaması, BEUC’un davanın GDPR’nin işbirliği mekanizması kapsamında bir prosedürün başlatılmasını tetikleyeceği beklentisine atıfta bulunuyor (yani, Madde 60). Google konum verileri şikayetinin yapıldığı 2018 yılından bu yana oldu.
BEUC’un şu anda daha sorunsuz bir seyir umuyor olmasının nedeni, AB DPA’larının Nisan ayında vardığı bir anlaşmadır – namı diğer “Viyana deklarasyonu” — “stratejik öneme sahip” sınır ötesi GDPR vakalarında uygulama işbirliğini geliştirmeyi taahhüt ettiklerinde.
Google gibi bir teknoloji devine yönelik bir şikayet açıkça bu çubuğa çarpıyor. Ancak eski Google konum verileri şikayeti, soruşturmayı yavaşlatmaya ve bu durumda bir kararı geciktirmeye katkıda bulunan işbirliğiyle ilgili bir dizi sorunla doluydu.
BEUC’un bu yeni sınır ötesi Google şikayetiyle mücadelede düzenleyiciler tarafından uygulanmasını umduğu değişiklikleri tartışırken, kuruluşta dijital politikadan sorumlu ekip lideri David Martin Ruiz bize şunları söyledi: milyonlarca Avrupalıyı etkileyen gözetim ekonomisindeki önemli bir piyasa oyuncusunun uygulamalarına değiniyor. İlk kez sadece lider otoriteyi adlandırmak yaklaşık 6 ay sürdü. Ayrıca, örneğin şikayetlerin kabul edilebilirliğinin kontrol edilmesi açısından yetkililer arasında daha iyi, daha yakın bir işbirliği olmasını ve bunun şikayetleri alan makam tarafından yalnızca bir kez yapılmasını bekliyoruz. Tabii ki, ilgili makamlar tarafından daha yakın işbirliği ve stratejik önceliklendirmenin, şikayetlerin hızlı ve kapsamlı bir şekilde soruşturulmasını ve etkili yaptırımı beraberinde getirmesini bekliyoruz.”
Yine de Ruiz, revize edilmiş işbirliği prosedürünün Google’a karşı yaptırımı ne kadar hızlı sağlayabileceğine dair bir tahmin sunmayı reddetti ve şunları söyledi: devam ediyor ve bundan 3 yıl sonra hala bir taslak karar için burada değiliz.”
Adtech devlerinin AB gizlilik yasalarına uyma yaklaşımını da eleştiren Avrupa Komisyonu, son zamanlarda bu büyük, sınır ötesi davalarda daha yavaş düzenleyici yaptırımları savundu.
İçinde mektup Adaletten Sorumlu Komisyon Üyesi Didier Reynders, Avrupa ombudsmanına – Komisyonun düzenlemeyi kendi denetimine ilişkin şikayetlerin ardından AB yürütme organının GDPR’yi izlemesini inceleyen – bu büyük soruşturmalardaki karmaşıklık düzeyini antitröst davalarına benzeterek şunları yazdı:
” … nispeten basit ve kapsamlı soruşturma gerektirmeyen davalar ile karmaşık hukuki ve ekonomik değerlendirme gerektiren veya yeni sorunlar ortaya çıkaran davalar arasında bir ayrım yapmak önemlidir. Bu karmaşık davalar, örneğin çok uluslu büyük teknoloji şirketlerinin iş modeliyle ilgili konulara değinenler, rekabet hukuku soruşturmalarında olduğu gibi birkaç ay veya yıllarca soruşturma gerektirebilir. Bu tür şirketlerin birçoğunun ana kuruluşu bu Üye Devlette bulunduğundan, bu özellikle İrlanda için geçerlidir.”
Reynders’ın görüşüne yanıt veren Ruiz, TechCrunch’a şunları söyledi: “Bunların karmaşık sorunlar olduğunu ve yetkililerin güçlü davalar oluşturmak için zamana ihtiyacı olduğunu kabul ediyoruz ve anlıyoruz. Ancak, bu davaları araştırmak için gereken zamanın ötesine geçen sorunlar gördük (örneğin, kendi soruşturmasını açmaya karar verirken şikayetlerin kapsamını daraltan bir DPA). Ayrıca, yıllar süren büyük şikayetlerin çoğu, DPA’ların görevlerini kolaylaştırmayı amaçlayan birçok yasal analiz ve olgusal kanıtla zaten desteklenmeleri anlamında normal şikayetler değildir. Ayrıca, elbette, bu vakaları çözmek için gereken süre, yeterli kaynak eksikliği gibi daha derin sorunların bir göstergesidir. Viyana bildirgesine göre güçlendirilmiş işbirliği ve stratejik önceliklendirmenin, bu vakaları araştırmak için gereken süreyi azaltmaya yardımcı olacağını umuyoruz. Karmaşıklık ve araştırmak için gereken süre, eylemsizlik için mazeret olamaz.”
BEUC, Big Tech’e karşı zamanında uygulama sorununu çözmek için GDPR’de büyük revizyonlar talep etmiyor. Ancak, DPA’ları, yönetmeliğin tek durak noktası/öncü veri denetleyici yapısıyla bağlantılı davaların darboğazı gibi sorunları ele almak için bireysel ve toplu olarak bir dizi süreç değişikliği yapmaya zorluyor. Forum Alışveriş.
“Özetle, Big Tech ile ilgili olarak, ilk adım ‘darboğazı’ durdurmaktır” dedi. “Temel olarak, DPA’ların, özellikle de birçok Büyük Teknoloji şirketini denetleyen bir DPA’nın, açık davalar hakkında kararlar vermesi gerekiyor. Ve hem lider DPA hem de EDPB’deki DPA’ların geri kalanı, kuralların yorumlanmasında ve uygulanmasında katı ve hırslı olmalıdır. Ayrıca, kararları baş DPA vermiyorsa, diğerleri yetkilerini tam olarak kullanmalı ve acil önlemler almalıdır. Big Tech’e, vitrin düzenleme ve kozmetik şeffaflık önlemlerinin artık işe yaramayacağına dair net bir sinyal olması gerekiyor. GDPR’nin özüne aykırı oldukları için, temel iş uygulamalarında ele alınması gereken bazı temel sorunlar var.”
“Tabii ki yaptırımların piyasa uygulamaları kadar hızlı hareket etmemesi ve şirketlerin her zaman bir şeyleri değiştirmesi endişe verici. İnce ayar yapan ve bir şeyleri düzelten bir şirketin, özellikle yıllardır devam eden ve milyonlarca insanı etkilediyse, geçmişteki ihlalleri silip cezasız bırakmaması gerektiğinin altını çizmek çok önemlidir. Aksi takdirde firmalara gönderdiğimiz çok tehlikeli bir sinyaldir” dedi. “Onlara, ‘yakalanmadığınız sürece GDPR’yi ihlal etmenizde bir sakınca yok ve yakalanırsanız, hemen düzeltin ve hiçbir sonuç olmayacağını söylüyor olacağız.’ Bu olması gerekenin tam tersi. İhlallerin sonuçları olmalıdır. Aksi halde adalet ve caydırıcı etki olmaz.”