Zorunlu onay sorununu gündeme getirdikten 5 yıl sonra Elkjop’a 1,8 milyon € ceza

 (thatprivacyguy.com)
1 puan yazan GN⁺ 7 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Elkjop grubunun Nordik müşteri kulübünde pazarlama e-postalarını kapatmak için üyelikten ayrılmak gerekiyordu ve bir üye 2021’de bunun GDPR ve ePrivacy ihlali olduğunu gündeme getirdi
  • Tartışmanın odağında, doğrudan pazarlamayı reddedebilmek için müşteri kulübü avantajlarından vazgeçmeyi şart koşan yapının özgür iradeyle verilmiş onay koşulunu karşılayıp karşılamadığı vardı
  • İsveç denetim kurumu IMY dosyayı Norveç’teki ana şirketin yetki alanına devretti ve Datatilsynet 1 Haziran 2026’da 20 milyon NOK, yani biraz daha fazla olmak üzere yaklaşık 1,8 milyon € ceza verdi
  • Datatilsynet; onayın zorlayıcı olduğunu, belirli olmadığını, yeterince bilgilendirmeye dayanmadığını ve toplanan kişisel verilerin reklam ile dönüşüm takibi için yeniden kullanılırken GDPR Madde 6(4) kapsamındaki uyumluluk değerlendirmesinin yapılmadığını değerlendirdi
  • Şikayetçi, karar sonucunu denetim kurumlarından değil GDPRhub üzerinden öğrendiğini, bu nedenle IMY’den açıklama istediğini ve AB infringement procedure ile Elkjop’a karşı medeni dava başlatacağını duyurdu

Pazarlama alımını durdurmanın üyelikten çıkmaya bağlandığı yapı

  • 2021 yazında bir Elgiganten Kundklubb üyesi, Elkjop grubunun Nordik bölgesi genelinde işlettiği müşteri kulübünde pazarlama e-postalarını kapatmanın yolunu aradı
  • Fiiliyatta pazarlamayı durdurmak için müşteri kulübü üyeliğinin kendisini iptal etmek gerekiyordu
  • Üye, 30 Temmuz’da Data Protection Officer’a bu yöntemin yasayı ihlal ettiğini bildirdi
    • GDPR Madde 21(2), herkese doğrudan pazarlamaya karşı mutlak itiraz hakkı tanır
    • ePrivacy Directive kapsamında e-posta ile pazarlama ancak onay varsa veya mevcut bir müşteri ilişkisi bulunuyorsa ve bilgi toplandığı anda ve sonrasındaki tüm mesajlarda kolay bir opt-out sunuluyorsa hukuka uygundur
    • GDPR Madde 4(11) ve Madde 7’ye göre onay özgür iradeyle verilmiş olmalı; başka koşullara bağlanmamalı veya zorunlu şart haline getirilmemelidir
  • Zaten sahip olunan bir hakkı kullanabilmek için müşteri kulübü avantajlarından vazgeçmek gerekiyorsa, bu onayın özgür iradeyle verilmiş bir onay olmadığı savunuldu

Elkjop’un yanıtı ve şikayet süreci

  • Elkjop tarafı, “pazarlama/teklif almak için müşteri kulübü üyesi olmanın şart olduğu” yönünde yanıt verdi
  • Üye açısından bakıldığında, hak kullanımını üyelik şartına dönüştüren yapının yazılı kayda geçtiği anlamına geliyordu
  • Ardından üye çeşitli süreçleri başlattı
    • GDPR Madde 18 uyarınca işlemenin sınırlandırılmasını resmen talep etti
    • Madde 15 uyarınca tam kapsamlı bir veri sahibi erişim talebi gönderdi
    • Talep kapsamına hukuki dayanak, legitimate interest balancing test, alıcılar, alt işleyenler, uluslararası aktarımlar ve profilleme dahil edildi
    • İsveç denetim kurumu Integritetsskyddsmyndigheten(IMY)’ye şikayette bulundu; referans numarası DI-2021-6660 idi
  • Şirket belirsiz bir gizlilik politikasına atıf yaptı ve daha sonra erişim talebi süresini 90 güne çıkarırken gerekçe olarak “karmaşıklık” ve “sınırlı iç kaynaklar”ı gösterdi

İsveç’teki şikayetin Norveç’te para cezasına dönüşme süreci

  • Müşteri kulübü Norveç merkezli ana şirket Elkjop Nordic AS tarafından işletiliyordu ve işleme amaçları ile araçlarına ilişkin fiili karar yetkisinin de ana şirkette olduğu değerlendirildi
  • IMY, Eylül 2022’de kendisinin uygun yetkili makam olmadığına karar verdi
  • GDPR Madde 56(1) kapsamındaki tek durak mekanizmasında, denetim yetkisi veri sorumlusunun ana işyerinin bulunduğu ülkedeki denetim kurumuna aittir
    • Ana işyeri Norveç’tedir
    • IMY, soruşturmayı ve şikayeti Norveç veri koruma otoritesi Datatilsynet’e devretti
    • Datatilsynet dosyayı kabul etti
  • Sonrasında dosya uzun süre kayda değer bir gelişme olmadan sürdü

Datatilsynet’in 2026 tarihli kararı

  • 1 Haziran 2026’da Datatilsynet, Elkjop grubuna 20 milyon NOK, yani biraz daha fazla olmak üzere yaklaşık 1,8 milyon € ceza verdi
  • Kararın özü, 2021’deki şikayette gündeme getirilen hususlarla aynıydı
    • Müşteri kulübü onayı geçerli değildi
    • Onay zorlayıcıydı
    • Onay belirli değildi
    • Üyeler yeterince bilgilendirilmemişti
  • Datatilsynet, Elkjop’un müşteri kulübü üzerinden topladığı kişisel verileri ayrıca reklam ve dönüşüm takibi için kullandığını değerlendirdi
  • Kişisel veriler başka amaçlarla yeniden kullanılmadan önce GDPR Madde 6(4)’ün gerektirdiği uyumluluk değerlendirmesinin yapılmamış olması da sorun olarak görüldü
  • Karar; Madde 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f) ve 6(4)’ü içeriyor
    • Yapının bütünü bakımından hukuka uygunluk, dürüstlük, şeffaflık ve hesap verebilirlik birlikte ele alındı

Zorunlu onay ve pay-or-consent sorunu

  • Zorunlu onay, pay-or-consent, paket onay ve “hepsine onay vermezsen hizmeti kullanamazsın” modeli dijital ekonominin büyük bölümünde fiili varsayılan yöntem gibi kullanılıyor
  • Kullanıcı reddettiğinde aslında koruması gereken bir şeyi kaybediyorsa, bunun özgür iradeyle verilmiş onay sayılamayacağı temel nokta olarak öne çıkıyor
  • 5 yıl ve yedi haneli bir para cezasının ardından bu tartışma artık kamuya açık bir kararla kayıt altına alınmış oldu

Şikayetçiyi bilgilendirme yükümlülüğü ve sonraki adımlar

  • Şikayetçi, kararı Perşembe sabahı denetim kurumlarından değil gönüllüler tarafından yürütülen wiki GDPRhub üzerinden öğrendiğini belirtti
  • GDPR Madde 77(2), denetim kurumunun şikayetçiye şikayetin ilerleyişi ve sonucu hakkında bilgi vermesini öngörür
    • Bu bir takdir veya jest değil, hukuki yükümlülüktür
    • Şikayet IMY’ye yapılmış, IMY’nin devrettiği dosya milyonlarca euroluk bir yaptırımla sonuçlanmış, ancak ilgili kurumlardan hiçbiri şikayetçiyi bilgilendirmemiştir
  • Şikayetçi IMY’den yazılı açıklama talep etti ve yanıt için 5 iş günü süre verdi
  • Yanıt beklediği düzeyde olursa, European Union’ın infringement procedure mekanizması kapsamında konuyu gündeme getireceğini açıkladı
  • Düzenleyici süreç tamamlandığı için Elkjop grubuna karşı medeni dava seçeneğinin de masada olduğunu, kişisel verilerin ilave hukuka aykırı işlenmesine dair ayrıntılar nedeniyle davanın kapsamının daha da genişleyebileceğini söyledi
  • Elkjop 2021’de yapılan uyarıyı dikkate almış olsaydı para cezasından, hukuka aykırı veri işlemeden, marka zararından ve sonrasındaki davalardan kaçınabilirdi

İlgili okumalar

1 yorum

 
GN⁺ 7 시간 전
Hacker News görüşleri

  • Bunun sonunda iyi sonuçlanmasına sevindim; distopya derinleştikçe daha fazla insanın böyle davranmasını isterdim.
    Özellikle ABD'de, sadece haklarını kullanmak ya da imzalaman gereken belgelerin hepsini okumak bile seni garip biçimde çevren için sürekli can sıkıcı biri konumuna düşürüyor; sırf olay çıkmasın diye sesini çıkarmayan ya da “neyse, herhalde sorun olmaz” deyip geçen insanlara kıyasla ciddi biçimde dezavantajlı oluyorsun.

    • Yeni bir hastaneye gittim; kayıt sırasında sigortayı düzgün işleyebilmek için küçük bir dijital pede “imza” atmamı istediler.
      Neye imza attığımı görmek için kağıt kopyasını göstermelerini istedim, ama bulamadılar; nedense çıktısını da veremiyorlardı. Sonunda pes edip parmağımla üstünkörü bir imza attım ve muayene oldum; gerçekten çıldırtıcıydı.
    • ABD'de bir daire kiralamıştım; belgelerde ev sahibinin benim ve ailemin video, fotoğraf ve ses kayıtlarını oluşturabileceği ve bunları ticari amaçlar dahil kendi amaçları için kullanabileceği yazıyordu.
      İtiraz ettim ama benim yüzümden hukuk ekibini devreye sokamayacaklarını, hoşuma gitmiyorsa çıkabileceğimi söylediler.
    • Ben imzaladığım sözleşmelerin her satırını okuyan biriyim; buna kullanım şartları ve gizlilik politikası da dahil.
      Bunun kimleri rahatsız ettiğini görmek aslında hoşuma gidiyor. Çünkü el sıkışsa da sözünü tutmaya niyeti olmayanların kim olduğunu gösteriyor.
      Bu deneyim, benim bu tür belgeleri yazma biçimimi de değiştirdi; en son yazdığım kullanım şartlarıyla gizlilik politikasını, her birini tek nefeste okunabilecek kadar kısa tuttum.
    • Eşim yakın zamanda doğum yaptı; hastaneye vardığımızda kasılmaları yeterince sıklaşmıştı ve yatış yapılması gerekiyordu.
      Ama hastane eşime yaklaşık 10 sayfalık onam formu imzalatmaya çalıştı; bunları gerçekten okuyacak birinin olacağını hayal etmek zor.
      Öte yandan, bu belgeler yüzünden hastaneye kabul edilmeyeceğini düşünmek de zor.
    • Evet. Bu başlığın içinde bile sırf haklarını bildiği için “bu müşteriyi ömür boyu yasaklarım” diyen insanlar görmek özellikle can sıkıcı.
      Kendini vatansever sayan Amerikalılar arasında bile bu kültürün bu kadar yaygın olması utanç verici.
      Bu ülke isyan ve hak talebi üzerine kuruldu; ama bir şekilde şimdi birçok yurttaş için tam tersi ideal haline gelmiş gibi görünüyor.

  • Asıl karar metni (Norveççe): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    Blog yazısının kapsadığı özet ve 5.1 bölümünün makine çevirisi (başka bazı kısımlar da var): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    Sonradan fark ettim ki resmi İngilizce karar metni de varmış: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • “Pazarlama/teklifler almak için müşteri kulübü üyesi olmak gerekir” cümlesi tek başına bakınca pek anlamlı gelmiyor.
    Eğer “müşteri kulübüne üye olmanın şartı pazarlama/teklif almayı kabul etmektir” deniyorsa bu ayrı bir mesele olurdu; ama yukarıdaki ifade daha çok, pazarlama iletileri almak için kulübe üye olman gerektiği anlamına geliyor gibi duruyor.
    Sanki çeviri ya da ifade sırasında bir şey ters dönmüş.

    • Bu bir çeviri sorunu. Norveççe özgün metin, sadakat kulübüne katılmak için pazarlama faaliyetlerini kabul etmenin gerekli olduğunu söylüyordu; makine çevirisi ise bunu doğal bir İngilizce yapıya çevirmeden kelimesi kelimesine aktarmış.
    • Evet, sanki ters çevrilmiş gibi duruyor; doğru ifade muhtemelen “müşteri kulübü üyesi olmak için pazarlama/teklifleri almayı kabul etmek gerekir” olurdu.
    • Buradaki “pazarlama/teklifler” sanırım indirimleri ifade ediyor.
      İndirim ya da özel kampanyaları almak için kulüp üyesi olman gerekiyor; kulüp üyesiysen de e-posta almayı kabul etmen gerekiyor; ama AB hukukuna göre yine de tüm indirimlere erişme hakkın var gibi bir durum söz konusu sanırım.
    • Ben de anlamadım. Üyeliğin teslimatın/alımın koşulu olması, benim anladığım kadarıyla yalnızca üyelerin bir şey alabileceği, üyelik yoksa hiçbir şey alınamayacağı ya da alınmaması gerektiği anlamına gelir; üyenin mutlaka bir şey almak zorunda olduğu anlamına gelmez.
      Bu tek başına tamamen normal ve makul görünüyor.
    • Almanca etkisindeki bir dilden kaynaklanan çeviri hatası gibi gelmişti.
      Örneğin yapı şu türden olabilir: “Teklifleri almak, ... üye olarak kalmanın şartıdır.”

  • Beş yıl tam bir şaka. Demokrasi ve hukuk devleti artık yok gibi.
    Siyasetçiler daha da zenginleşiyor, kimse karşı çıkmıyor, makamlarını ailelerine devrediyorlar; vergiler sürekli artarken hizmetler giderek kötüleşiyor.
    Öte yandan Avrupa'nın ve Batı demokrasilerinin yıkımını canlı canlı izleyebilmek ilginç de.
    Roma İmparatorluğu'nun son dönemlerinde de herhalde böyle acı verici bir düşüş yaşanmıştır; şimdi de Avrupa/ABD imparatorluğunun sonunu izliyor gibiyiz.

  • AB şirketlerinin, mülakat öncesinde adayları gizlilik karşıtı bir politikayı kabul etmeye zorlaması diye bir sorun da var. Kafa karıştırıcı biçimde buna “gizlilik politikası” adını veriyorlar.
    O politikada şirkete ve üçüncü taraflara, fiilen herkese, ses ve görüntü dahil verileri her türlü amaçla kullanma hakkı tanınıyor.
    Elbette bunu sıradan insanların anlamasını zorlaştıracak kadar muğlak ifadelerle yazıyorlar.
    Böyle durumlarda da benzer yaptırımlar uygulanıp uygulanmadığını merak ediyorum.

    • Şahsen böyle bir şey yaşamadım ama yerel veri koruma otoritesine şikayette bulunabilirsin.
      Bu tür ifadelerin uyum gerekliliklerini karşılaması büyük olasılıkla zordur.
      Etkiyi en üst düzeye çıkarmak için ilgili şirkete GDPR Madde 15 kapsamında erişim talebi gönderip verilerinin fiili alıcılarının listesini al, bunu özellikle ve açıkça iste; ardından o şirketlerin hepsine de aynı talebi gönder.
      Sonra ek şikayetler için alan açılır; örneğin neden Madde 14 bilgisini göndermedikleri ya da başlangıçtaki hukuki dayanak rıza ise, bunun özgür iradeyle verilmiş bir rıza olmayabileceği için o hukuki dayanağın gerçekten uygun olup olmadığı sorgulanabilir.
    • Yakın zamanda bir AB şirketinin https://www.crosschq.com/ kullandığını görünce biraz rahatsız oldum.

  • Bu kişinin duruşunu anlıyorum, ancak olayı kendi lehine değerlendiren hukuki kurumu yeniden dava etmiş olması hâlâ komik

    • Ne demek istediğini anlamadım. Sorunlu şirketi dava etmeyi planlıyor gibi görünüyor ve belki İsveç veri koruma otoritesine karşı da şikâyette bulunabilir.
      Olayı kendi lehine değerlendiren kurum ise Norveç Veri Koruma Otoritesi
    • Norveç veri koruma otoritesi Datatilsynet'in raporuna bakılırsa arka planda “birden fazla şikâyet ve ihbar”a atıf yapılıyor
      Muhtemelen IMY bu konunun kendi yetki alanı dışında olduğuna karar verip şikâyeti Datatilsynet'e iletti ve dosyayı kapattıktan sonra Hanff'e haber vermeyi unuttu ya da Datatilsynet'ten hiç yanıt alamadı
    • Eğer GDPR'nin oluşturulmasında etkisi olduysa, geri kalan kamuoyu genel olarak kendini güçsüz hissediyorsa ve ilgili kurumlar da işlerini düzgün yapmıyorsa, sonunda hesap soran tek kişi o olabilir

  • Orijinal alıntı: Birkaç gün sonra aldığım yanıt, ihlali kayda geçiren nazik bir görev gördü. Kendi ifadeleriyle tutumları “pazarlama/teklif almak istiyorsanız müşteri kulübü üyesi olmanız gerekir” şeklindeydi.
    Bunun nasıl olup da “kulüp üyesiyseniz mutlaka pazarlama/teklif almak zorundasınız” anlamına geldiğini anlayamıyorum
    Bana daha çok “yalnızca üyeler pazarlama/teklif alır” deniyor gibi geliyor

  • Norveç veri koruma otoritesi Datatilsynet, benim deneyimime göre kullanıcıyı sürekli gözetiyor
    Sistemden geçmenin uzun sürmesi üzücü, ama genel olarak tutarlı biçimde iyi kararlar veriyorlar

  • Görüntü bende yüklenmiyor, yalnızca oluşturulurken kullanılan prompt görünüyor ama dürüst olmak gerekirse bu daha iyi

    • Bende hem görüntü hem de prompt görünüyordu ama sayfanın tamamına stil uygulanmamıştı
      Az önce yeniledim, CSS de yüklendi ve prompt artık görünmüyor
      Muhtemelen web sunucusu geçici olarak trafikten bunaldı ve bazı ziyaretçilere görüntüleri, bazılarına da CSS dosyalarını tutarlı şekilde sunamadı
    • Bunun prompt değil, ekran okuyucular için bir erişilebilirlik açıklaması olması mümkün değil mi?
    • Modele “geniş açılı sinematik kare” tarzında üretmesi söylenmiş ama sonuç daha çok illüstrasyon tarafına kaymış gibi, bu da biraz komik

  • Elkjøp'e gerçekten para cezası verilmiş olması çok hoş ve olması gereken bir şey, ancak ilgili kişiye bunun bildirilmeye devam edilmemesi oldukça şaşırtıcı

    • Beni bilgilendirme sorumluluğu onlarda değil, İsveç düzenleyici kurumu IMY'deydi