Sosyal medya kullanıcıları, sosyal medya platformlarını kullanırken "bu uygulama bilgilerinize erişim izni istiyor" yazısı ile karşılaştıklarında sadece “Kabul et” veya “Reddet” seçenekleriyle karşılaşıyor. İzin talebi reddedildiğinde ise çoğu kez uygulama kullanılamıyor.
Bu konuya ilişkin olarak Avrupa Dijital Haklar Merkezi (“NOYB”) tarafından Avusturyalı kullanıcılar adına Facebook’a ilişkin ve Belçikalı kullanıcılar adına Instagram’a ilişkin, Genel Veri Koruma Tüzüğü’nün (“GDPR”) yürürlüğe girdiği 25 Mayıs 2018 tarihinde, Facebook, Instagram, Whatsapp gibi sosyal medya platformlarının sahibi Meta Platforms, Inc.’in (“Meta”) İrlanda’daki merkezi (“Meta İrlanda”) aleyhine yapılan iki şikayet İrlanda Veri Koruma Komisyonu (“DPC”) tarafından 04 Ocak 2023 günü karara (“Karar”) bağlanmıştır. Şirketin Avrupa merkezi Dublin'de olduğu için Meta'nın Avrupa Birliği (“AB”) nezdinde ana düzenleyicisi olarak hizmet veren DPC, yasal onayın hizmet şartlarının içine yerleştirilmesinin esasen kullanıcıları kişiselleştirilmiş reklamları kabul etmeye zorladığını ve bu sebeple GDPR’ı ihlal ettiğini belirlediğini açıklamıştır.
Esasen, DPC ilgili Karar öncesinde, Meta İrlanda'nın hizmet şartlarını kabul etmeyen kullanıcılara hizmetlerine erişimi engelleyerek GDPR kapsamındaki rıza gerekliliklerine uymadığını iddia eden bir şikayeti gözden geçirmişti. DPC, ilgili tarihte Meta İrlanda’nın fiillerinin GDPR’ye uygun olduğu sonucuna varmıştı. Ancak diğer AB veri düzenleyicilerinin azınlığının itirazları ve fikir birliğine varamamalarının neticesi olarak, GDPR'nin tutarlı bir şekilde uygulanmasını sağlamak için AB tarafından oluşturulan bağımsız bir organ olan Avrupa Veri Koruma Kurulu (“EDPB”), İrlanda düzenleyicisinin kararını reddedip, aksi yöndeki kendi bağlayıcı kararını vermişti. İşte 04 Ocak 2023’te DPC, EDPB’nin ilgili kararıyla aynı doğrultuda karar vererek, Meta İrlanda’ya yönelik yaptırımlara hükmetti.
Karar ile Meta İrlanda’ya Facebook’a yönelik 210 milyon ve Instagram’a yönelik 180 milyon olmak üzere toplam 390 milyon Euro para cezası verilmiştir. Aynı zamanda karar ile "kullanıcının iznini alıyorduk" açıklaması "kullanıcıyı kabule zorlamak" olarak değerlendirilerek uygulamalara 3 ay
içinde GDPR’ye uyumlu hale gelerek "verilerin işleniş iznini tamamen kullanıcılara bırakan" düzenlemeleri yapma yaptırımı da uygulanmıştır.
GDPR'ın 6. maddesi uyarınca, şirketlerin kişisel verileri işlemek için yasal bir dayanağa sahip olmaları gerekmektedir. GDPR düzenlemeleri ilgili verilerin işlenebilmesi için birtakım hukuki sebepler öngörmektedir; veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi, veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için işleme faaliyetinin gerekli olması, veri sorumlusunun tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile işleme faaliyetinin gerekli olması, veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya veri sorumlusuna verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması ve özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir veri sorumlusu veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması. GDPR Mayıs 2018'de yürürlüğe girdiğinde Meta İrlanda, veri toplamaya yönelik hukuki sebebi sözleşmenin uygulanması olarak belirlemiş; bu amaçla Facebook ve Instagram'daki kullanıcılara platformları kullanmaya devam etmek için kabul etmeleri gereken yeni hizmet şartlarını sunmuştu. Ancak, yeni verilen bu Karar, ilgili hizmet şartlarının kullanıcılara sunulmasının yeterli olmadığını da göstermektedir.
Meta’nın bu kararlara GDPR 6. maddesi uyarınca verileri işlemek için yasal bir dayanağı olduğu gerekçesiyle itiraz etmesi beklenmektedir. Bu itirazın nasıl sonuçlanacağı henüz bilinmese de Meta gibi büyük ve güçlü bir şirkete verilen bu cezaların kişisel verilerin korunmasına olan yaklaşım bakımından oldukça etkili olduğu düşünülmektedir.