2,4 Milyarlık dev bir cezanın mevzuata uyum perspektifinden düşündürdükleri

Geçtiğimiz günlerde Avrupa Birliği tarafından dünya devi Google’a verilen 2,4 milyar dolarlık ceza, “Büyük başın derdi büyük olur” atasözümüzün doğruluğu bir kez daha kanıtlamakla kalmadı, aynı atasözüne yeni bir anlam da kazandırdı: “Büyük başın sorumluluğu da büyük olur”.

Bugüne kadar Amerikan FCPA odaklı birçok dev ceza girdi gündemlerimize; Avrupa ise, hep geride kaldı sansasyonel cezalar vermekte.

Şüphesiz bir cezayı değerli yapan sansasyonel boyutu değil, verilişindeki adalettir; bununla birlikte, cezanın büyüklüğü ve ciddiyeti hem cezayı alan şirket hem de diğer dünya devleri için bir öğrenme fırsatıdır.

Örneğin Volkswagen’in aldığı ve alacağı cezalar tüm otomotiv devleri için bir alarm niteliğindedir. Sektörün tüm şirketleri için uyum programlarını gözden geçirmek için bir fırsat ve motivasyondur. O bakımdan büyük cezaları tüm sektör paydaşları için bir öğrenme ve gelişme fırsatı olarak görüyorum.

Gelin Google’a dönelim ve aldıkları cezalar üzerinden mevzuata uyum kıskacının daralış hikayesini inceleyelim.

Bu incelemedeki ilk durağımız tüm Türk şirketlerini de yakından ilgilendiren ve hayatımıza 6698 numaralı kanunla giren “Kişisel Verilerin Korunması”

Son iki sene, Avrupa Birliği Veri Koruma ajanslarının birçoğunun Google hakkında, şirketin gizlilik politikasının çeşitli veri koruma kanunlarına uyumsuz olduğu şüphesi ile başlattıkları soruşturmaları gördük. Bu uyumsuzluk şüphesinin ardında aslında çok da basit ve bilinen bir kavram var: Şeffaflık. Şirket, topladığı kişisel verilerin nasıl kullanıldığına dair ilkeleri ve uygulamaları ile ilgili yeterince şeffaf bulunmuyor.

2013 yılında, Fransa veri güvenliği otoritesi Google’a, özellikle “Google Analytics” aracı ile topladığı veriyi nasıl kullandığı ve paylaştığı ile ilgili ilke politika ve yöntemleri ile ilgili daha şeffaf olması yönündeki ilk resmi uyarıyı verdi.

Hollanda Veri Güvenliği Otoritesi, 15 Aralık 2014 tarihinde verdiği bir kararda Google’a, Hollanda veri güvenliği yasalarına aykırı uygulamalarını 2015 Şubat ayı sonuna kadar sonlandırmazsa 15 milyon Euro’yu bulacak bir ceza vereceğini açıkladı.

İngiliz Veri Güvenliği Otoritesi ise 30 Ocak 2015 günü yaptığı bir açıklamada Google’ın topladığı kişisel veriyi nasıl kullandığı ile ilgili bilgi talep edildiğini ve bu alandaki uygulamalarını geliştirecekleri ile ilgili yazılı taahhüt alındığını bildirdi.

Günümüzde şirketleri değerli yapan mali varlıkları değil, sahip oldukları verinin büyüklüğü, çeşitliliği ve marka değeri; yani bir diğer deyişle itibarları. Bu da, 21. Yüzyıl şirketini tarihin hiçbir döneminde olmadığı kadar sorumlu bir sosyal varlık yapıyor. Elbette şunu da unutmamak gerek: Şirketlerin elindeki kişisel verilerimiz, sadece ticari haklar değil insan hakları çerçevesindeki, güvenliğimizi ve varlığımızı doğrudan etkileyecek verilerdir.

Eminim ki Google, veri güvenliği ile ilgili bu uyumsuzluk durumu uyarılarını dikkate almış ve uyum programını geliştirmiştir. Gelin görün ki şirket, bu önlemlerin sadece ilgili kanunlara uyum bakımından alındığını, çok daha büyük bir sorumluluk alanındaki uyum ilkesini gözden kaçırdığını işaret eden bir cezaya çarptırıldı.

2,4 milyar dolarlık bu ceza, şirketin yapılan aramalarda, kendi alışveriş hizmetini hep ilk sırada çıkartması ve benzer hizmetler veren rakipleri daha alt sıralara itmesi, bu şekilde elinde bulundurduğu altyapıyı ve veriyi adil rekabet şartlarını ortadan kaldırmak üzere kullandığı tespiti karşısında verildi.

Elbette bu kadar büyük bir ceza gündemlerimizi uzun süre meşgul edecek değerde bir haber; bununla birlikte hepimiz biliyoruz ki 92 milyar dolar gelire sahip bir şirket için gelirlerinin %2sini ifade eden bu dev ceza aslında devede kulak. Ancak kararı dikkatli okuyan gözlerden kaçmayan bir husus daha var. Avrupa Birliği Rekabet Otoritesi, şirkete mevcut uyumsuzluğu 90 gün içerisinde ortadan kaldırmadığı taktirde her gün için gelirlerinin %5i kadar bir ceza daha uygulayacağını bildirdi. İşte bu yıkıcı bir yumruk olabilir.

Google’ın yiyeceği yumruklar bunlarla da sınırlı gözükmüyor… Şirketin Android telefon üreticilerine kendi arama motoru ve tarayıcısını kullanmak, rakip firmaların benzer yazılımlarına ise, en azından ilk kurulum paketi içerisinde, yer vermemek yönünde baskı yaptığı şüphesi ile süren bir diğer inceleme hakkında da bilgiler var.

Sonuç:

Günümüzde bir şirketi, katapult etkisi ile, dev şirketler ligine taşıyanın yıkıcı ve yenilikçi iş modelleri geliştirme becerileri olduğunu gördük.

Google, Uber, Facebook, Twitter, Airbnb veya Booking.com, bu yeni iş modelleri ile birkaç nesildir var olan şirketleri birkaç yılda geride bırakan global şirketler haline geldiler.

Bir tek araca sahip olmadan dünyanın en büyük organize taşıma hizmetini veren; bir tek otele veya daireye sahip olmadan dünyanın en büyük organize konaklama hizmetini veren veya bir satır içerik üretmeden dünyanın en büyük içerik trafiğine hâkim olan bu yeni ve yıkıcı iş modelleri günümüz veri toplumu dinamiklerini en iyi kullanan şirketleri var ettiler.

Peki operasyonel ve mali büyüklüklerinin ve bu büyümeyi sağlayan veri üzerindeki hakimiyetlerinin getirdiği sorumluluğa uygun bir etik ve uyum yönetimi sistemi kurdular mı?

Bu şirketlerin her birinin kanun yapıcı ve düzenleyici kurumlarla sorunlar yaşadığını göz önünde bulundurursak, bu soruya olumlu cevap vermek pek de mümkün gözükmüyor.

İş modelleri yeni de olsa, konu hisse değerini artırmak olduğunda hiç de yenilikçi olmayan ve çağın gerektirdiği sorumluluğu göz ardı eden şirketlerin bir geçiş sürecinde olduğunu ve bu sürecin hem kendileri hem kanun yapıcı ve düzenleyiciler hem de gelecekte benzer başarılara imza atacak girişimciler için öğretici birçok tecrübe ile dolu olacağını ve bu tecrübelerin insanlığı daha etik bir ticaret düzlemine taşıyacağını umuyorum.

Tayfun Zaman