Bugün gözetim veri kompleksi başka bir darbe daha aldı: Bloğun en üst mahkemesi, aracının sorumlu olduğu reklam endüstrisi kurulu tarafından yapılan argümanları reddetti ve kullanıcıların gizlilik tercihlerine yanıt olarak ürettiği veri dizilerinin, bloğun Genel Veri Koruma Yönetmeliği (GDPR) kapsamında kişisel veriler olduğunu onayladı. Çünkü bunlar kişisel bir tanımlayıcı içerir.
Avrupa Adalet Divanı (CJEU), rıza yönetim aracını geliştiren reklam endüstrisi derneği olan IAB Europe’un, reklam veren üyeleriyle birlikte “ortak denetleyici” olduğunu belirtti. Bu, veri işleme işlemlerinin GDPR’ye uygunluğunu sağlamak için sorumluluğu atlamaması gerektiği anlamına geliyor.
CJEU kararı, IAB Europe’un “Şeffaflık ve Onay Çerçevesi“nin (TCF) GDPR’yi ihlal ettiğini belirleyen yerel veri koruma otoritesi kararının itiraz edildiği Belçika’daki mahkemeden gelen soruların bir yönlendirmesini takip ediyor.
Belçika DPA’nın kararı, Mayıs 2018’de GDPR’nin yürürlüğe girmesinden bu yana Avrupa’daki web kullanıcıları için büyük bir olaydı. Ancak bu rahatsız edici pop-up’lar, hiçbir zaman GDPR uyumlu görünmedi. Kullanıcıların reklam izlemesi konusunda basit bir ‘evet’ veya ‘hayır’ seçeneği sunulmalı. Ancak adtech endüstrisi, çoğu insanın gizlilik lehine oy kullandığını bilerek kullanıcılara izleme reddetme kolay bir yol sunmaktan kaçınmak için her şeyi yapmayı tercih etti. Bu nedenle, izleme reddi seçenekleri genellikle çok daha az belirgin oluyor, hatta hiç sunulmuyor veya sunulursa bile pop-up’ların alt menülerine gömülüyor.
GDPR’nin uygulanmasından bu yana adtech endüstrisi tarafından kullanılan diğer taktikler arasında paylaşım seçeneklerini önceden işaretleyerek ve web kullanıcılarının manuel olarak tıklayıp onay kutularını işaretlemelerini gerektirmek de var.
Dahası, bağımsız araştırmalar, IAB’nin TCF’ye bağlı bazı reklam teknolojisi satıcılarının; kullanıcılar izleme tabanlı reklamları istemediklerini açıkça belirtmelerine rağmen internet kullanıcılarını takip etmeye ve profillendirmeye devam ettiğine dair kanıtlar gösteriyor.
Eleştirmenler bütün bu sinik yaklaşımı uyum tiyatrosu olarak adlandırıyor: Reklam endüstrisinin, sistematik uyumsuzluğu endüstri standardı bir çerçeve içine paketleyerek veri koruma yasalarından kaçınma girişimi ve web kullanıcılarını toplu halde izlemeye ve profillendirmeye devam etme çabası.
Tabii ki, IAB bu görüşü paylaşmıyor. TCF’nin GDPR’yi ihlal ettiğine dair Belçika kararını yargılamak için yasal bir itirazı devam ediyor, ancak şimdi CJEU’nun kararı mahkemeye geri dönecek ve bu sürece dahil edilecek.
Reklam birliği, TCF dizelerinin kişisel veri olmadığına dair Belçika kararını bozmak için çabaladı. Ayrıca, yetkililerin bunu ortak denetleyici olarak sınıflandırmasını da sorguladı. CJEU her iki hususta da aksi yönde karar verdi. Dolayısıyla, IAB’nin temyizi için pek de parlak görünmüyor.
Bugün yayımlanan bir basın açıklamasında IAB, mahkemenin kararını kabul ederek “kişisel veri ve (ortak) denetleyicilik kavramları üzerinde ihtiyaç duyulan açıklık“ı memnuniyetle karşıladığını belirtti. Bu, tamamen argümanı kaybetmiş olmalarını bir şekilde iyi bir sonuçmuş gibi göstermenin bir yolu.
Ayrıca, yakında kararın ve sonuçlarının daha ayrıntılı bir yorumunu paylaşacaklarını da söylediler.
“Belçika Pazar Mahkemesi artık ABAD tarafından verilen yanıtlar doğrultusunda IAB Avrupa’nın esaslı argümanlarını incelemeye devam edecek.” diye de eklendi.
“Piyasa Mahkemesi önündeki birkaç ay sürebilecek davanın sonuçlanmasına kadar, APD kararının (yani IAB Avrupa’nın eylem planının onaylanmasının ardından uygulanmasının) askıya alınması uygulanmaya devam ediyor.”
Hikayenin güncellenmiş SSS‘inde reklam birliği, CJEU kararının TCF’nin GDPR’yi ihlal ettiğine dair Belçika DPA’nın bulgularını bozma şanslarına darbe olduğunu reddetmeye çalışıyor. “CJEU kararında, dijital ekosistemin yasal gereksinimlerine uyum sağlamak için onay isteklerinin yasallığını sorgulayan veya bunların kullanımını yasaklayan bir şeyin bulunmadığını” iddia ederek, “Avrupa Birliği’nin veri koruma çerçevesi altındaki yasal gereksinimleri yerine getirmek için kullanılmak üzere” dijital ekosistemin kullanımını engelleyen hiçbir şeyin bulunmadığını söylüyorlar.
Bu, yine de, CJEU’nun görevinin özellikle ileri sürülen hukuk maddelerine yanıt vermek olduğu göz önünde bulundurulduğunda, güzel bir dönüşüm olarak görünüyor. İlerleyen adımları atmak, dava ile ilgili temel hukuk maddelerini nasıl yorumlayacakları konusunda en üst mahkemenin rehberliğini dikkate almak için yönlendiren mahkemeye aittir.
Hatırlatma olarak, IAB’nin TCF’ye yönelik uzun süredir devam eden şikayet hakkında Belçika otoritesinin Şubat 2022 kararı, 5.1.a ve 6. maddelerin (işlemenin yasallığı; adil ve şeffaflık); 12, 13 ve 14. maddelerin (şeffaflık); 24, 25, 5.1.f ve 32. maddelerin (işlemenin güvenliği; kişisel verilerin bütünlüğü; tasarım ve varsayılan olarak veri koruma); 30. madde (işleme faaliyetlerinin kaydı); 35. madde (veri etkisi değerlendirmesi); ve 37. maddenin (veri koruma görevlisi atanması) ihlallerini buldu.
Otorite ayrıca o noktada IAB’ye 250 bin Euro’luk bir para cezası verdi ve TCF’yi uyumluluğa getirmesi için altı ay verdi. Ancak çerçevenin reform gerektiren eylemleri, IAB’nin temyizi üzerine son bir mahkeme kararı beklenene kadar askıya alındı. Bu nedenle, AB’de hala pop-up onay spamı devam ediyor.
Ancak bu kararla bu zombi onay spamının sona erme zamanı gelmiş olabilir. CJEU’nun kararının ardından yapılan bir açıklamada, İrlanda Medeni Haklar Konseyi’nin kıdemli üyesi ve Enforce direktörü Johnny Ryan, TCF’ye karşı GDPR şikayetlerini yapan kişilerden biri olarak, bu epik mücadelenin sonunun göründüğünü öngördü.
Ryan, “Avrupa’daki insanlar, neredeyse altı yıl önce GDPR’nin yürürlüğe girmesinden bu yana neredeyse her web sitesinde ve uygulamada her gün sahte ‘onay’ pop-up’larıyla başa çıkmaktan rahatsız oldular. IAB Europe, bu oyunu sorumluluğundan kaçınmak için çabaladı. Ancak Avrupa Adalet Divanı onu doğruladı. Bu karar, tarihteki en büyük spam operasyonunu sona erdirmekle kalmayacak; aynı zamanda, çevrimiçi izleme tabanlı reklam endüstrisine ölümcül bir darbe vuracak.” diye yazdı.
Ancak, CJEU’nun argümanlarını reddetmesine rağmen; IAB’nin bugünkü PR’ının “sakin” yasal işlemler öngördüğü mümkün, çünkü Avrupa web kullanıcılarından izleme izni almak için alternatif bir strateji gözlemlemiş olabilir.
Ancak, tartışmalı ‘izin ver veya öde‘ modeli zaten bir dizi gizlilik ve tüketici koruma zorlukları ile karşı karşıya. Ayrıca, Avrupa Veri Koruma Kurulu’nun yakında rehberlik sunması bekleniyor.
