Avrupa Genel Mahkemesi Çarşamba günü, Avrupa Birliği’nin üye devletler için yasalar önermek ve uygulamaktan sorumlu birincil yürütme kolu olan Avrupa Komisyonu’nu, bloğun kendi veri gizliliği düzenlemelerini ihlal ettiği gerekçesiyle para cezasına çarptırdı.
Bu gelişme, Komisyonun bölgedeki katı veri koruma yasalarını ihlal etmekten ilk kez sorumlu tutulduğu anlamına geliyor.
Mahkeme azimli Bir Alman vatandaşının IP adresi ve web tarayıcısı meta verileri de dahil olmak üzere kişisel verilerinin, şu anda aktif olmayan Futureu.europa adresini ziyaret ederken Amerika Birleşik Devletleri’ndeki Meta sunucularına aktarılmasıyla “yeterince ciddi bir ihlal” işlendiği belirtildi.[.]AB web sitesi Mart 2022’de.
Kişi, Facebook hesabı kullanarak oturum açma seçeneğini de içeren Komisyon’un oturum açma hizmetini kullanarak sitedeki etkinliklerden birine kaydoldu.
Avrupa Birliği Adalet Divanı, “AB Giriş web sayfasında görüntülenen ‘Facebook ile Giriş Yap’ hiper bağlantısı aracılığıyla, Komisyon, ilgili kişinin IP adresinin ABD’nin üstlendiği Meta Platformlara iletilmesine ilişkin koşulları oluşturdu.” söz konusu bir basın açıklamasında.
Başvurucu, bilgilerinin ABD’ye aktarılmasının, kişisel verilerine ABD güvenlik ve istihbarat servisleri tarafından erişilmesi riskinin ortaya çıktığını iddia etmiştir.
Ancak verilerin ABD’deki Amazon CloudFront sunucularına da aktarıldığı yönündeki suçlamalar, bilgilerin Almanya’nın Münih kentinde bulunan bir sunucuda barındırıldığının belirlenmesinin ardından reddedildi. Söz konusu web sitesi Amazon’un içerik dağıtım ağını (CDN) kullanıyordu.
Mahkeme, “30 Mart 2022’deki bu aktarım sırasında, ABD’nin AB vatandaşlarının kişisel verileri için yeterli düzeyde koruma sağladığına dair herhangi bir Komisyon kararı yoktu” dedi. “Ayrıca, Komisyon, özellikle standart bir veri koruma maddesi veya sözleşme maddesi olmak üzere uygun bir korumanın bulunduğunu ne göstermiş ne de iddia etmiştir.”
Genel Mahkeme, bunun, kişisel verilerin bir AB kurumu, organı, ofisi veya ajansı tarafından 46. madde uyarınca üçüncü bir ülkeye aktarılmasıyla ilgili yasaların ihlali anlamına geldiğini söyledi. Düzenleme 2018/1725.
Sonuç olarak mahkeme, Komisyon’un, veri aktarımı sonucunda maruz kaldıklarını iddia ettikleri maddi olmayan zararın tazminatı olarak talep ettiği kişiye 400 Euro (412 $) ödemesine karar verdi.
Temmuz 2023’te AB yeni bir kişisel veri aktarım mekanizması ABD’nin çağrısıyla AB-ABD Veri Gizliliği Çerçevesi Gizlilik Kalkanı’nın geçersiz kılınmasının ardından kişisel verilerin iki bölge arasında transatlantik aktarımını mümkün kıldı.
