Facebook’un ana şirketi Meta, 22 Mayıs Pazartesi günü, İrlanda’nın veri koruma gözlemcisi tarafından ABD’ye yasa dışı veri aktarımı yaptığı için GDPR kapsamında 1,2 milyar Euro’luk rekor bir para cezasına çarptırıldı.
Bununla birlikte, Meta’nın kullanıcı verilerini ABD sunucularından fiilen silmesi gerekmeden önce yeni bir AB-ABD veri aktarım anlaşması imzalanacak olduğundan, kullanıcı gizliliği kararının sonuçlarıyla ilgili şüpheler devam etmektedir.
Ayrıca, GDPR kapsamında ABD’li büyük teknoloji şirketlerine yönelik önceki rekor kıran para cezalarında olduğu gibi, Facebook’un hem İrlanda yasalarına göre hem de Avrupa Adalet Divanı’nda para cezasına itiraz etmek için sayısız fırsatı var.
Para cezasının koşulları altında, Meta’nın bu yıl 12 Kasım’a kadar kullanıcı verilerini ABD sunucularından geri taşıması veya silmesi gerekiyor, ancak gerçekte uymak zorunda olması pek olası değil. Mart 2022’den bu yana AB ve ABD yetkilileri, GDPR mevzuatını ABD veri toplama ile uyumlu hale getirmek için oluşturulmuş bir veri aktarım anlaşması olan AB-ABD Veri Gizliliği Çerçevesinin (DPF) siyasi şartları üzerinde anlaştılar.
İlk olarak bu yılın Temmuz ayında imzalanması planlanan dijital gizlilik STK’sı Access Now’ın kampanyacısı Estelle Massé, EUobserver’a bunun muhtemelen Ekim ayına erteleneceğini söyledi – Facebook’un AB kullanıcı verilerini silmek zorunda kalmaması için hala zamanında.
“Bu [decision] Massé, “insanların hakları için pek bir şey ifade etmeyebilir. Uygulamada, bu, Facebook’un aslında hiçbir şey yapmaması gerektiği anlamına gelir, çünkü verilerin ABD’ye taşınabileceği ve orada kalabileceği yeni bir yasal temele sahip olacaktır.”
1,2 milyar avroluk para cezası çok büyük bir meblağ, ancak Massé, Meta’nın hissesinin bu gerilemeden zarar görmeyeceğini düşünüyor. “Bu para cezasına hazırlanmak için bir süredir kenara para ayırıyorlar” dedi. “Yatırımcılarına sadece bir ay önce söylediklerine ve beklentilerine dayanarak [from this fine]Facebook hisselerinin bugün yükselmesini bekliyorum.”
Bu yılın nisan ayında Meta kazanç raporunda bir uyarı yayınladı küresel reklam gelirinin yüzde 10’a varan bir kısmının İrlandalı düzenleyiciler tarafından verilen para cezası nedeniyle risk altında olabileceğini söyledi. Massé, “Açıkçası, bunun ve diğer birçok ceza için her zaman bir kenara para ayırdılar. Bence 1,6 milyar Euro ayırdılar, yani 1,2 milyar Euro iyi bir hediyeydi,” diye alay etti Massé.
Ve bu, tüm tutarı tamamen ödemek zorundalarsa. Ulusal yasa koyucular tarafından 2016’dan bu yana GDPR kapsamında verilen rekor kıran para cezalarının neredeyse tamamı hâlâ temyiz aşamasında. “GDPR kapsamında verilen 4 milyar avroluk ceza sınırını geçtik. Ancak bu cezaların gerçekte ne kadarının ödendiğini araştırıp karşılaştırırsak, 4 milyar avroya ulaşmadık.”
Massé, “İlerleme iyi düzeyde,” dedi. Ancak aynı zamanda, kullanıcı verilerinin korunması için fazla bir şey yapmayabilir.
“Somut olarak, GDPR, insanlar için veri koruma ihlallerini korumakla ilgilidir. Ve bu kararla insanlar olarak bize söylenen şey, bu şirketin verilerinizi hukuka aykırı bir şekilde taşıdığı, şu anda hukuka aykırı bir şekilde verilerinizi bir yerde tuttuğu ve şimdi bu çözümü ya silerek ya da şirketin yasal olarak sahip olduğu yere taşıyarak düzeltmesi için altı ay veriyoruz. Ancak küçük bir baskı şu ki, altı ay içinde onu orada tutabilecekler. Yani bu, hukuka aykırı durumun onlar için hukuk dışı olmaktan çıkana kadar altı ay daha devam etmesini kabul ettiğimiz anlamına geliyor” dedi.
Yine de hepsi kaybolmadı. On yıl önce İrlanda veri koruma düzenleyicilerine şikayette bulunan ve dava açmaya devam eden gizlilik kampanyacısı Max Schrems, bir açıklamada söyledi yeni AB-ABD DPF’sinin Avrupa Adalet Divanı’na (CJEU) gitmesi pek olası değil.
“Meta, ileriye dönük transferler için yeni anlaşmaya güvenmeyi planlıyor, ancak bu muhtemelen kalıcı bir çözüm değil. Benim görüşüme göre, yeni anlaşmanın ABAD tarafından öldürülmeme şansı belki yüzde on. ABD gözetim yasaları düzeltilmedikçe , Meta muhtemelen AB verilerini AB’de tutmak zorunda kalacak” dedi.
Ayrıca, Meta’nın veri koruma yönetmeliği nedeniyle hizmetleri AB’den çekme tehditlerinin “gülünç” olduğuna inanıyor. Avrupa, sosyal medya devi için ABD dışındaki en büyük pazar, bu nedenle geri çekilmek “boş bir tehdit” dedi.
GDPR 2016’dan beri yürürlüktedir ve Meta’ya – ve diğer büyük teknoloji şirketlerine – veri aktarımı sorunlarını çözmeleri için bolca zaman vermiş olmalıdır. Massé, “Geleceğini bildikleri yasaya uymaya hazır olmadıkları için üzülmeyeceğim” dedi.