Kamuya açık bilgilere otomatik erişim (kazıma), yıllardır yargının endişe kaynağı olmuştur. Münih Yüksek Bölge Mahkemesi (OLG), Eylül ayının sonunda yayınlanan nihai kararıyla sosyal ağ operatörlerine açık bir sinyal gönderdi (ref. 36 U 1368/24 e). Temelde, teorik olarak erişilebilir olmasına rağmen, yetersiz varsayılan ayarlar nedeniyle toplu toplamanın hedefi haline gelen verileri korumakla ilgilidir. Yüksek Bölge Mahkemesi yalnızca etkilenen kişiye tazminat ödenmesine karar vermekle kalmadı, aynı zamanda kullanıcılar lehine önemli bir usuli engeli de düzeltti.
Reklamdan sonra devamını okuyun
Dava 2019 yılına kadar uzanıyor. O dönemde, Facebook'taki kişi aktarma işlevi aracılığıyla dünya çapında yaklaşık 533 milyon veri kaydına erişildiği ve daha sonra karanlık ağda yayınlandığı öğrenildi.
Davacı da etkilendi: Aslında kamuya açık olarak paylaşmak istemediği telefon numarası profiline bağlandı. Sebep: Varsayılan aranabilirlik seçeneği önceden “tümü” olarak ayarlanmıştır. Üçüncü taraflar, telefon numarası listelerini karşılaştırmak ve ilgili profilleri belirlemek için otomatik sorguları kullanabildi.
Münih bölge mahkemesi başlangıçta davayı reddetmişti. Bununla birlikte, daha yüksek OLG, platformun operatörü olarak sorumluluğu açıkça görmektedir. Facebook, veri minimizasyonu ilkesini ve veri koruma dostu varsayılan ayarlara sahip olma yükümlülüğünü ihlal etti. Kullanıcıların teorik olarak gizlilik ayarlarını manuel olarak yapma olanağına sahip olması, “teknoloji ustası”nın sorumluluğunu ortadan kaldırmıyor.
Telefon numarasının dünya çapında aranmasını sağlayan standart bir ayar, sözleşmenin asıl amacı olan insanları birbirine bağlamak için gerekli değildir. Mahkeme ayrıca, toplu müdahaleyi daha da zorlaştırabilecek captcha'lar veya etkili IP kontrolleri gibi teknik engellerin bulunmamasını da eleştirdi.
GDPR nasıl uygulanır: “İkincil sunum yükü”
Bir olayın ne zaman zaman içinde sınıflandırılması gerektiği sorusu söz konusu olduğunda kararın özellikle hukuki önemi vardır. Genel Veri Koruma Yönetmeliği (GDPR) yalnızca Mayıs 2018'den bu yana yürürlükte olduğundan, şirketler genellikle kritik veri çıkışlarının bu son tarihten önce başladığını ve dolayısıyla yasal olarak gri bir alana düştüğünü iddia ediyor.
Yüksek Bölge Mahkemesi bu taktiğe bir son verdi: Facebook'un ikincil bir sunum yüküne tabi olduğuna karar verdi. Yalnızca operatörün dahili teknik süreçler ve günlük dosyaları hakkında bilgi sahibi olması nedeniyle, kazımanın tam olarak ne zaman gerçekleştiğine dair ayrıntılı kanıt sunması gerekir. Bu kanıt başarılı olmazsa, katı GDPR kurallarının uygulanabilirliği kullanıcı lehine kabul edilecektir.
Reklamdan sonra devamını okuyun
Yüksek Bölge Mahkemesi, zararı değerlendirirken Avrupa Adalet Divanı'nın ve esasen Federal Adalet Divanı'nın mevcut çizgisini takip etti. Buna göre, kişisel veriler üzerindeki kontrolün kaybedilmesi manevi zarar teşkil etmektedir. Bilgilerin karanlık ağda ortaya çıkması bu kaybın kalıcı olmasını sağladı. Temyiz mahkemesi bunun için davacıya 200 avro tazminat ödenmesine karar verdi. Etkilenen milyonlarca insan göz önüne alındığında, kendi içinde yönetilebilir olan bu miktar, bir dava dalgası durumunda Meta için hızla tehdit edici boyutlara ulaşabilir.
BT avukatı Jens Ferner'a göre karar, içtihat hukukunda meydana gelen bir paradigma değişikliğinin altını çiziyor: platformlar yalnızca aktif hatalardan değil, aynı zamanda sistemlerindeki yapısal tasarım zayıflıklarından da sorumludur. Karar, GDPR'nin dişsiz bir kaplan değil, bireysel yasal koruma için etkili bir araç olduğunu açıkça ortaya koyuyor. Şirketler için bu, veri koruma dostu varsayılan ayarların (“Varsayılan Olarak Gizlilik”) yalnızca bir öneri değil aynı zamanda yasal bir gereklilik olduğu anlamına gelir.
(wpl)
Bir yanıt yazın