Turkey: Rekabet Kurumu Ve Kişisel Verileri Koruma Kurumu Arasında İşbirliği

Rekabet Kurumu ve Kişisel Verileri Koruma Kurumu Arasında İşbirliği

Rekabet hukuku ve kişisel verilerin korunması hukuku, dijital pazarların ve dijital ekonominin önemli parçalarından biri olarak görülüyor. Her ne kadar iki ayrı disiplin olsalar da özellikle büyük veri kavramı ile birlikte verilerin ekonomik değerlerinin tartışılmaya başlandığı dijital pazarlar söz konusu olduğunda, bu iki disiplinin çakıştığı alanlar ortaya çıkmaya başladı. Nitekim dijital pazarlarda veriler, veri olmalarının yanı sıra aynı zamanda pazar gücünü ve/veya hâkim durumu sağlayan bir etmen olarak da görülüyor. Özellikle Alman Rekabet Otoritesi tarafından verilen Facebook kararı sonrası, rekabet ve veri koruma otoriteleri arasında nasıl bir ilişki olması gerektiği, birbirlerinin yetki alanlarına müdahale edip edemeyecekleri hususları dünya çapında tartışılmaya başlandı.

Geçtiğimiz günlerde Rekabet Kurumu ile Kişisel Verileri Koruma Kurumu arasında işbirliğinin tesis edilmesi amacı ile imzalandığı duyurulan protokol ile bu tartışmaların Türkiye bağlamında daha kolay çözüme kavuşup kavuşamayacağı merak konusu oldu. Bu kapsamda, Türk hukuku için, iki kurum arasındaki işbirliğini pekiştirecek protokol metni yayımlandı.

Facebook Kararı ile Avrupa'da Başlayan Süreç

Alman Federal Rekabet Kurumu Bundeskartellamt tarafından verilen 6 Şubat 2019 tarihli Facebook kararı, rekabet ve veri koruma otoriteleri arasındaki yetki tartışmalarının önemli bir başlatıcısı oldu. Kararda, sosyal ağlarda hâkim durumda olduğu belirtilen Facebook'un kullanıcılarına uyguladığı hizmet şartları tartışılarak, veri işleme politikası kapsamında kullanıcı verilerinin işlenmesine ilişkin kısıtlamalar öngörüldü. Daha önce Facebook kullanıcıları, yalnızca Facebook.com üzerinden toplanan verilerle sınırlı olmamak üzere, Facebook'un sahip olduğu web siteleri ve uygulamalar ve üçüncü taraflarca ve akıllı telefonlarda toplanan verilerin birleştirilerek kullanıcının Facebook hesabına aktarabilmesi imkânı dâhil olmak üzere, Facebook'un internet sitesi ve akıllı telefon uygulamaları haricinde de veri toplayabileceğini, bu verileri kullanıcıların hesabına aktarabileceğini öngören hizmet şartlarını kabul etmeleri halinde platformu kullanabilmekteydi. Bu kapsamda, üçüncü taraflar, Facebook'a ait Whatsapp, Oculus, Masquerade ve Instagram kurumsal hizmetlerini ve üçüncü taraf web siteleri ile uygulamalarını kullanarak veri toplayabilmekteydi. Ancak Facebook'un söz konusu davranışları, gerek kişisel verilerin korunması prensipleri gerekse rekabet kuralları açısından uygun görülmedi. Alman Federal Rekabet Kurumu tarafından verilen ihlal kararın en önemli ve en çok tartışılan noktası, Alman Federal Rekabet Kurumu'nun rekabet ihlallerinin yanı sıra, veri koruma kurallarını ihlal eden Facebook'a ilişkin karar verme konusunda kendisini yetkili görmesi ve kararda Avrupa Birliği Genel Veri Koruma Tüzüğü 'ne ("GDPR") ilişkin değerlendirmelere yer vermesi oldu.

Facebook'un platformundaki kullanıcı verilerini, kullanıcıların rızası olmadan ve birleştirerek işlemesini yasaklayan Alman Federal Rekabet Kurumu kararına karşı, Düsseldorf Yüksek Bölge Mahkemesi'nde dava açıldı. İlgili davada Düsseldorf Yüksek Bölge Mahkemesi, GDPR'ın belirli hükümlerinin nasıl yorumlanması gerektiği ve ulusal rekabet otoritelerin rekabet hukuku ihlallerini incelerken GDPR'ı dikkate alıp alamayacağı konusunda Avrupa Birliği Adalet Divanı'nın ("ABAD") görüşüne başvurdu. ABAD, 4 Temmuz 2023 tarihinde verdiği kararında, ulusal rekabet otoritelerinin hâkim durumun kötüye kullanılması iddialarına yönelik incelemelerinde GDPR'a dayanabileceğine karar verdi. Ancak ABAD kararında aynı zamanda, rekabet otoritelerinin yetkilerini veri koruma otoritelerinin görevlerini devralmak amacıyla değil, yalnızca rekabet hukuku ihlallerinin tespit edilmesi amacıyla kullanılabileceğini ve ilgili otoritelerin bu görevleri icra ederken diğer otoriteler ile iş birliği yapmak zorunda olduğunun altını çizdi.

Benzer bir Facebook (yeni adı ile Meta) soruşturması Türkiye'de de başlatıldı ve Rekabet Kurulu benzer hususları Türk rekabet hukuku özelinde de inceledi. Kurul, Facebook'un temel hizmetler olarak adlandırılan Facebook, Instagram ve WhatsApp hizmetlerinden topladığı verileri birleştirerek kişisel amaçlı sosyal ağ hizmetleri ile çevrim içi görüntülü reklamcılık pazarlarında faaliyet gösteren rakiplerinin faaliyetlerini zorlaştırmak ve pazara giriş engeli yaratmak suretiyle rekabetin bozulmasına yol açtığına karar verdi. Benzer şekilde Kurul da kararında kişisel verilerin korunması mevzuatına ilişkin değerlendirmelere de yer verdi.

İki Kurum Arasında İmzalanan Protokol

Facebook kararları ile başlayan süreç, rekabet ve veri koruma otoritelerinin yetki alanları arasında soru işaretleri ortaya çıkmasına neden olsa da, gerek ABAD kararı gerekse ulusal otoriteler özelindeki işbirliği çabaları bu gri alanların düzenlenmesinde yardımcı olmayı amaçlıyor. Bu doğrultuda Türkiye'de atılan adımlar çerçevesinde 26 Ekim 2023 tarihinde, Rekabet Kurumu ve Kişisel Verileri Koruma Kurumu arasında İşbirliği ve Bilgi Paylaşımı Protokolü ("Protokol") imzalandığı duyuruldu. Her iki kurum tarafından yapılan ortak duyuruda söz konusu Protokol ile iki kurum arasında somut olarak aşağıdaki konularda işbirliği yapılacağı belirtildi:

Duyuruda ayrıca, Protokol ve diğer çalışmalar ile birlikte sektörde etkin rekabetin tesisinin ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesinin amaçlandığı ifade edildi.

Söz konusu gelişmeler ile birlikte, global anlamda tartışmalara yol açan rekabet hukuku ve kişisel verilerin korunması hukukunun örtüştüğü alanlarda, Türkiye'de iki otorite arasında tesis edilebilecek işbirliğinin temellerinin atıldığı ve kurumlar arası iletişimin güçlendirilerek bu konuda kurumlar arası bir çatışmanın benimsenmesi yerine, birlikte yol almanın hedeflendiği görülmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.