AVRUPA ADALET DİVANI : FASHION ID KARARI

AVRUPA BİRLİĞİ ADALET DİVANI

Basın Bülteni No 99/19

29 Temmuz 2019, Lüksemburg

Dava Karar Numarası: C-40/17

Fashion ID GmbH & Co. KG ile Verbraucherzentrale NRW eV

Facebook Beğen” butonu bulunan bir web sitesi işletmecisi, ziyaretçilerinin kişisel verilerinin toplanması ve bunların Facebook' a iletilmesi konusunda, Facebook' la müşterek veri sorumlusu konumundadır.

Buna karşılık, söz konusu web sitesi işletmecisi, prensip olarak, daha sonra Facebook tarafından işlenen bu verilerin daha sonraki işlenmesi bakımından “veri sorumlusu” durumunda değildir.

Online satış yapan bir Alman giyim perakendecisi Fashion ID, web sitesine “Facebook Beğen” butonu yerleştirmiştir. Bu butonun yerleştirilmesi neticesinde, bir ziyaretçi tarafından Fashion ID web sitesine başvurulduğunda, bu ziyaretçinin kişisel verilerinin Facebook İrlanda' ya iletildiği anlaşılmıştır. Yapılan bu iletimin, ziyaretçinin farkında olmadan ve sosyal ağ olan Facebook üzerinde herhangi bir üyeliğinin olup olmadığına veya “Beğen” butonuna tıklayıp tıklamadığına bakılmaksızın gerçekleştiği görülmüştür.

Tüketicilerin menfaatlerini korumakla görevli bir Alman derneği olan Verbraucherzentrale NRW, Fashion ID' yi, ziyaretçilerinin Facebook web sitelerindeki kişisel verilerini, ilk olarak kendi rızaları olmadan ve ikinci olarak da, kişisel verilerin korunmasına ilişkin hükümlerde belirtilen bilgilendirme görevlerini ihlal ettiği gerekçesiyle eleştirmiştir.

Uyuşmazlığa bakan Oberlandesgericht Düsseldorf (Yüksek Bölge Mahkemesi, Düsseldorf, Almanya), Adalet Divanı' nın 95/46 EC Veri Koruma Yönergesinin[1] (Bu dava için geçerli, ancak 25 Mayıs 2018 tarihinde yürürlüğe giren Genel Veri Koruma Tüzüğü(“GDPR”)[2] ile yürürlükten kaldırılmıştır.) bazı hükümlerini yorumlamasını istemiştir.

Avrupa Birliği Adalet Divanı, ilgili kararında, ilk olarak, 95/46 EC Veri Koruma Yönergesinin, kişisel verilerin ihlali kapsamında tüketiciyi koruma derneklerine, ihlalden sorumlu olduğu iddia edilen bir kişiye karşı yasal işlem başlatma veya savunma hakkı verilmesine engel olmadığını belirtmiştir.

Divan, ikinci olarak, söz konusu verilerin aktarılması sonrasında Facebook İrlanda tarafından gerçekleştirilen veri işleme faaliyetleri bağlamında, Fashion ID'nin “veri sorumlusu” olarak kabul edilemeyeceği sonucuna ulaşmıştır. Zira, Fashion ID'nin, başlangıçta, bu aşamada gerçekleştirilen veri işleme faaliyetlerinin amaçlarını ve araçlarını belirlemesi imkansızdır.

Diğer yandan, Divan, Fashion ID gibi bir web sitesi işletmecisinin,  verilerin toplanması ve Facebook İrlanda'ya iletilmesi, web sitesine gelen verilerin işlenmesi gibi belirli veri işleme faaliyetleriyle ilgili olarak müşterek veri sorumlusu olduğunu belirtmiştir.

İlgili Karara ilişkin basın duyurusuna (İngilizce) buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1]Kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı konusunda kişisel verilerin korunmasına ilişkin 24 Ekim 1995 tarih ve 95/46/EC sayılı Avrupa Parlamentosu ve Konsey Yönergesi (OJ 1995 L 281, syf. 31).

[2]Kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı konusunda gerçek kişilerin korunmasına ilişkin 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konsey Tüzüğü (AB) 2016/679 (OJ 2016 L 119, syf. 1).