Ev " Blog " GDPR ISS ile Buluşuyor: Mahkemeler Veri Denetleyici Rollerini Nasıl Yorumluyor?

Blog
GDPR ISS ile Buluşuyor: Mahkemeler Veri Denetleyici Rollerini Nasıl Yorumluyor?GDPR ISS ile Buluşuyor: Mahkemeler Veri Denetleyici Rollerini Nasıl Yorumluyor?">

GDPR ISS ile Buluşuyor: Mahkemeler Veri Denetleyici Rollerini Nasıl Yorumluyor?

Alexandra Blake, Key-g.com
tarafından 
Alexandra Blake, Key-g.com
5 dakika okuma
Hukuki danışmanlık
Nisan 14, 2025

The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a denetleyici as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.

Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.

Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

Key Findings:

  • Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
  • The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.

Implications:

  • Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
  • ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility

In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

Key Findings:

  • The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
  • The operator is değil a controller for subsequent processing carried out solely by Facebook.

Implications:

  • This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
  • Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.

Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

Key Findings:

  • The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
  • The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

ISS için çıkarımlar:

  • Platformlar ve iştirakler, kullanıcı verisi toplama konusunda birlikte (hatta gayriresmi olarak) çalıştıklarında müşterek sorumluluk taşıyabilirler.
  • Gayri resmi veya merkezi olmayan işleme yapıları yap müşterek kontrol yükümlülüklerinden kurumları korumaz.

Bundeskartellamt - Meta (T-201/22 Sayılı Dava): Rekabet GDPR ile Buluşuyor

Hukuki gelişim aşamasında olmasına rağmen, Alman rekabet otoritesinin Facebook'a (şimdi Meta) karşı açtığı dava şunları sorgulamaktadır: aşırı veri toplama her ikisi de altında uygulamalar GDPR ve rekabet hukuku. AİHM'nin açıklığa kavuşturması gerekecek mi platform hakimiyeti ve kullanıcı rızası veri koruma prensipleri altında etkileşimde bulunun.

Gelişen Trend:

  • Mahkemeler ve düzenleyiciler giderek daha fazla değerlendiriyor platform genelinde izleme ve hizmetler arası veri konsolidasyonu bilgilendirilmiş, özgürce verilmiş bir rıza eşliğinde olmadığında potansiyel olarak kötüye kullanıma yönelik veya yasa dışı olarak.

ISS Sağlayıcıları için Temel Çıkarımlar

  1. Müşterek Kontrolörlüğü Proaktif Olarak Değerlendirin
    Paylaşımlı araçlar, eklentiler veya analiz özellikleri içeren herhangi bir işbirliği, ortak sorumluluklar yaratabilir. Düzenlemeleri resmileştirin ve sözleşmeler ve gizlilik politikaları aracılığıyla rolleri açıklığa kavuşturun.
  2. Segment İşleme Aşamaları
    Sorumluluk yalnızca belirli işlem aşamaları için geçerli olabilir. Kuruluşunuzun veri toplamayı ve aktarmayı nerede başlattığını veya katkıda bulunduğunu açıkça belirtin.
  3. Şeffaflığı ve Rıza Mekanizmalarını Güçlendirin
    Üçüncü taraf araçları mı yerleştiriyorsunuz? Bunları belirgin bir şekilde açıklayın ve yasal olarak gerekli olan durumlarda, özellikle pazarlama ve profilleme için kullanıcı onayı alın.
  4. Ortak Denetleyici Sözleşmeleri (ODS) Uygulayın
    GDPR Madde 26 uyarınca, ortak denetleyiciler bir Müşterek Kontrolör Sözleşmesi, sorumlulukları paylaştırmak ve veri sahipleri için bir irtibat noktası sağlamak.
  5. Veri Korumasının Ötesindeki Yasal Gelişmeleri Takip Edin
    Müşterek veri sorumluluğu konuları artık rekabet hukuku, tüketici koruma ve platform düzenlemesiyle kesişmektedir. Dijital hizmetleri etkileyen daha geniş hukuki eğilimlerin farkında olun.

Sonuç

AİHM'nin gelişen içtihat hukuku kesin olarak şunu ortaya koymuştur: Bilgi Toplumu Hizmetleri, denetleyici sorumluluklarını paylaşabilir web sitesi işletmecileri, ortaklar ve hatta kullanıcılarla, veri etkileşiminin niteliğine bağlı olarak. Hukuk danışmanları ve uyumluluk ekipleri için, bir platformu tarafsız bir ev sahibi olarak sınıflandırmak artık yeterli değil. Verilerin nasıl toplandığı ve kullanıldığı üzerindeki gerçek etki artık belirleyici faktör.

Dijital Hizmetler Yasası, eGizlilik Yönetmeliği ve devam eden GDPR uygulaması kapsamında düzenleyici ortam daha karmaşık hale geldikçe, ISS sağlayıcıları bir benimsemelidir kapsamlı ve belgelenmiş yaklaşım veri yönetimi ve denetleyici sorumluluklarına.

Veri işleme ilişkilerinizi gözden geçirme veya GDPR uyumlu ortak denetleyici sözleşmeleri taslağı hazırlama konusunda yardıma mı ihtiyacınız var? Veri koruma ekibimiz, AB genelindeki platformlara ve dijital hizmet sağlayıcılarına yasal ve şeffaf veri uygulamaları yapılandırması konusunda tavsiyelerde bulunmaktadır. Danışmanlık için bize ulaşın.

tr_TR Türkçe
tr_TR Türkçe en_GB English (UK) ru_RU Русский de_DE Deutsch pl_PL Polski it_IT Italiano fr_FR Français el Ελληνικά ko_KR 한국어 zh_CN 简体中文 ja 日本語 uk Українська sk_SK Slovenčina ro_RO Română nl_NL Nederlands pt_PT Português sv_SE Svenska fi Suomi cs_CZ Čeština es_ES Español ar العربية