İtalya Veri Koruma Kurumu Google Analytics GDPR Kararı

Okuma Süresi: 2 Dakika

Makalemizde İtalya Veri Koruma Kurumu Google Analytics GDPR Kararı konusunu inceleyeceğiz.

İtalyan Veri Koruma Kurumu da Google Analytics Kullanımının Avrupa Veri Koruma Tüzüğü’ne Aykırı Olduğuna Karar Verdi

Google Analytics Nedir?

Google Analytics web sitelerinin performanslarının değerlendirilmesi amacıyla temel olarak siteyi ziyaret eden kişi sayılarını, kimlerin ziyaret ettiğini, kullanıcıların tıklama sonrasında ilk olarak neler yaptıklarını ve siteyi nasıl bulduklarını ölçümleyen bilişim hizmetidir.

GDPR ve Google Analytics

Yakın zamanda Avusturya ve Fransız Veri Koruma Kurumları’nın Google Analytics kullanımını Avrupa Veri Koruma Tüzüğü (Yönergesi – GDPR)’ ne aykırı bulmasının ardından İtalyan Veri Koruma Kurumu da (The Garante per la Protezione dei Dati Personali) benzer şekilde bir işletmeye ait web sitesinde yoğun Google Analytics kullanımının GDPR ile uyumsuz olduğuna karar verdi. Bu gelişmenin temelinde Avrupa Adalet Divanı’nın 2020 yılında verdiği bir kararda Amerika Birleşik Devletleri temelli yazılımların kullanımının; Amerikan Hukuku gereğince ‘’Facebook’’ gibi teknoloji şirketlerinin devlet kurumlarının verilere ulaşmasına imkan verdiği için GDPR’yi ihlal ettiğine hükmetmesi vardır (Anılan karar için: https://curia.europa.eu/juris/liste.jsf?num=C-311/18 ).

Kurum diğer Avrupa Birliği ülkelerinin ilgili kurumlarının verdiği kararlar ile uyumluluğun da sağlanması amacıyla benzer bir yaklaşımda bulunduğunu belirterek özellikle yeterli koruma seviyesine sahip bir ülke olmayan Amerika Birleşik Devletleri’ne veri transferinin yasal olmadığının altını çizmiştir.

Bu kapsamda Google Analytics kullanımı dolayısıyla kişilerin web sayfalarındaki etkileşimlerinin, ziyaret ettikleri web sayfalarının, kullanılan cihazlara ilişkin IP adreslerinin, kullanılan dillerin ve ziyaretlere ilişkin tarih ve zamanın Amerika Birleşik Devletleri merkezli bir şirkete transferinin Avrupa Veri Koruma Düzenlemeleriyle uyumlu olmadığını belirtmiştir.

Yine bu bağlamda gerekli önlemler alınmaksızın transferi gerçekleştirilen verilerin Amerikan Devlet kurumları ile istihbarat servisi tarafından ulaşılabilir olacağı bir tehlike olarak ortaya konulmuştur. Kurum ilgili sağlayıcıya Google Analytics kullanımın durdurulması amacıyla 90 günlük süre tanımıştır. Ayrıca web sitelerine GDPR ile uyumlu başkaca analiz yazılımlarının kullanılması tavsiyesinde bulunulmuştur.

Yine Haziran 2022’de Fransız Veri Koruma Kurumu Google Analytics kullanımına ilişkin rehberini güncelleyerek; bunun GDPR ile uyumlu olmadığını belirtmiş ve kişi ve kurumlara uyum açısından gerekli işlemleri yapmaları amacıyla bir aylık süre tanımıştır. Fransız Veri Koruma Kurumu özellikle Google LLC’ nin verileri kendine has bir yöntem ile şifrelediğinden bahisle verilerin korunmasında etkili teknik önlemlerin alınmadığına vurgu yapmıştır.

Aynı doğrultuda Avusturya Veri Koruma Kurumu (Austrian Data Protection Authority – DSB) da Google Analytics kullanımını; analiz yazılımının kişisel verileri Google’ nin kurumsal genel merkezine ilettiği ve Amerikan Devlet kurumlarının ulaşmasını mümkn kıldığı için GDPR’nin 44. Maddesini ihlal ettiğine karar vermiştir.

Sonuç

Sonuç olarak Avrupa Birliği ülkelerinde Google Analytics kullanımın ilgili düzenlemelere aykırılığı tartışılmaya başlanmış olsa da bağımsız bilişim hizmeti sunan bazı kuruluşlar Google Analytics kullanımı sırasında gerekli önlemlerin alınması halinde pratiğin devam edebileceği görüşündedirler.

Örneğin Google reklamları ve veriye dayalı pazarlama teknikleri alanında faaliyet gösteren e-dialog kuruluşu Google’nin güncellemiş olduğu veri işleme şartlarının kabul edilmesi (DPAs – Google Data Processing Terms for all Products), üçüncü kişiye veri transferi sırasında ilgili yasal düzenlemelere atıf yapılması, Google Analytics kullanımı için kullanıcıların açık rızalarının alınması, ihlale konu olan veri transferlerinin web sitesi tarafından önceden engellenmesi (server-side tracking) halinde analytics kullanımının Avrupa ülkeleri bakımından yasal hale geleceği görüşündedir.

Hukuk  ve Bilişim Dergisi’nin yeni sayısına bağlantıdan ulaşabilirsiniz.

KVKK hakkındaki tüm Blog yazılarımızı okumak için de bağlantıya tıklayınız.

Kaynakça

  • https://thehackernews.com/2022/06/italy-data-protection-authority-warns.html
  • https://www.trendingtopics.eu/google-analytics-can-still-be-used-in-compliance-with-the-gdpr/
  • https://www.e-dialog.group/ ( ‘’Current news incorrectly reports that Google Analytics is no longer data protection compliant after a decision by the Austrian data protection authority.’’)

Av. Necip Atalay Aksoy