Wiesbaden İdare Mahkemesi ("Mahkeme") 1 Aralık 2021 tarihli kararında ("Karar") RheinMain Üniversitesi'nin ("Üniversite") çerezlere ilişkin ABD'de bulunan rıza yönetim platformunu kullanmasını yasakladı. Mahkeme, yer sağlayıcısı ABD'de bulunan rıza yönetim platformunun kullanılmasının Genel Veri Koruma Tüzüğü ("GDPR") kapsamında yurt dışına veri aktarımı teşkil ettiğine karar verdi. Karar ihtiyati tedbir kararı olarak verilmiştir ve bu nedenle nihai ve bağlayıcı değildir. Ancak Mahkeme'nin tespitleri, şirketlerin çerez uygulamalarına ilişkin değerlendirmeleri açısından önem arz etmektedir.
Karar'a konu olay
Üniversite, internet sitesinde ziyaretçilerin çerez tercihlerini saklamak için bir rıza yönetim platformu kullanmaktadır. Söz konusu rıza yönetim platformu, ABD merkezli bir yer sağlayıcısından hizmet almaktadır. Başvurucu ("Başvurucu"), ziyaretçilerin kişisel verilerinin ABD'ye aktarılması nedeniyle Üniversite'nin rıza yönetim platformunu kullanımının durdurulmasını talep etmiştir.
Mahkemenin değerlendirmesi
Mahkeme, öncelikle Karar'a konu verilerin kişisel veri teşkil ettiğine karar vermiştir. Şöyle ki, rıza yönetim platformu, internet sitesi ziyaretçisini tanımlayan kullanıcı anahtarını ve ziyaretçilerin IP adreslerini toplamaktadır. Kullanıcı anahtarı ve IP adreslerinin birleşimi, ziyaretçilerin belirlenmesini sağlamaktadır. Bu nedenle söz konusu veriler kişisel veri teşkil etmektedir
Mahkeme ayrıca, bu verilerin aktarımından Üniversite'nin sorumlu olduğuna karar vermiştir. Mahkeme, verilerin aktarımını Üniversite gerçekleştirmese de, rıza yönetim platformunu internet sitesine dahil ederek, Üniversite'nin kişisel verilerin toplanmasına ve aktarılmasına karar verdiğini ve ayrıca işlenme amacını belirlediğini değerlendirmiştir. Mahkeme Üniversite'yi veri sorumlusu olarak nitelendirmektedir.
Mahkeme'nin en önemli analizi veri aktarımı hususundadır. Mahkeme, ABD merkezli bir yer sağlayıcısını kullanan çerez yönetim platformunun kullanımını GDPR kapsamında yurt dışına veri aktarımı olarak değerlendirmiştir. Mahkeme, verilerin Avrupa Birliği'nin dışına çıkıp çıkmadığını dikkate almayarak Birlik dışından yetkililerin verilere erişme imkanına sahip olmasının veri aktarımı teşkil ettiğine karar vermiştir. Mahkemenin bu görüşü, yer sağlayıcısının ABD'de yerleşik olması ve Verilerin Denizaşırı Ülkelerde Kullanım Şeklinin Netleştirilmesi Yasası'na ("CLOUD Yasası") tabi olduğu gerçeğine dayanmaktadır. CLOUD Yasası uyarınca, ABD kolluk kuvvetleri söz konusu yasaya tabi şirketlerin sakladıkları verilere erişim talep edebilmektedir. Mahkeme ayrıca, bu tür bir aktarımın AB Adalet Divanı'nın Schrems II kararı uyarınca da yasak olduğunu ileri sürmüştür
İlaveten Mahkeme, Üniversite'nin (i) ilgili kişilerin aktarım için açık rızasını almadığını ve (ii) CLOUD Yasası kapsamında bu tür bir aktarımın olası riskleri hakkında ilgili kişileri bilgilendirmediğini vurgulamıştır. Üniversite'nin bu tür verileri aktarmasının gerekli olmadığına karar vermiştir. Mahkeme, değerlendirmesine Standart Sözleşme Maddelerinin ("SCC") kullanımını dahil etmemiştir.
Kararın Önemi
Karar ihtiyati tedbir niteliğindedir ve kesin değildir. Bu nedenle temyiz edilebilecektir. Ancak Mahkeme'nin ABD merkezli çerez yönetimi sağlayıcılarının kullanımına ilişkin değerlendirmeleri Avrupa'da internet sitesi işleten pek çok şirketi ilgilendirdiği için önem arz etmektedir. Çerez eklentileri için ABD merkezli yer sağlayıcılarını kullanan şirketler, bu tür işlemler veri aktarım kısıtlamalarına tabi olduğundan Mahkeme'nin bulgularını dikkate almalıdır. Dikkate alınması gereken bir diğer husus ise, Mahkeme'nin kararında SCC'lere ilişkin değerlendirme yapılmadığı için Üniversite'nin hukuka uygun veri aktarımı gerçekleştirmek amacıyla SCC'leri kullanıp kullanmadığının belirsiz olmasıdır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
