Kivuz

Kişisel Veri Kurulu Tarafından Verilen İnternet Ve Sosyal Medya Platformu Hakkında Karar

Kurul tarafından TikTok Pte. Ltd. şirketi hakkında gerçekleştirilmiş olan veri ihlalinin değerlendirilmesi neticesinde 2023/134 numara ile karar vermiş olup bu kararı da resmi web sitesinde paylaşmış bulunmaktadır[1]. Vermiş söz konusu karar özetleyecek olursak eğer:

Söz konusu uygulama hakkında açık rızanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’ na göre yasada yer alan hükümlere uygun olarak alınmadığı, kişisel verilerin elde edilmesi ve saklanması konusunda yasaya aykırılıkların yer aldığı ve söz konusu yazılımın birçok güvenlik açığı bulunduğuna yönelik yer alan muhtelif haber ve şikayetler nedeniyle harekete geçen Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kanun’un 15’inci maddesinin (1)[2]numaralı fıkrası kapsamında resen inceleme başlatılması yönünde karar verilmiştir.

Veri sorumlusundan alınan savunma yazıları ve bununla bağlantılı olarak Gizlilik Politikası ve Hizmet Koşullarının incelenmesi neticesinde, Kişisel Verileri Koruma Kurulu’nun 2023/134 sayılı Kararı ile;
- TikTok’un 2021 yılı Ocak ayında Gizlilik Politikasında güncelleme gerçekleştiği, güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği bu sayede, yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebileceği, videoları indirebilecek ve yorum yapabilecek kişilerin sınırlandırıldığı belirtilmekle birlikte; belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlandırılma bulunmamasının, hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği,
- 2021 yılı Ocak ayında Gizlilik Politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu,
- Veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde Kişisel Verilerin Korunması Kanunu'nun 5’nci maddesinde yer alan işleme şartlarının tümünün belirtildiği, ancak hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, bu hususta veri sorumlusunca Kanun’un 4'üncü maddesinde yer alan "belirli, açık ve meşru amaçlar için işlenme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırı hareket edildiği,
- TikTok hesabı oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri halinde Hizmet Koşulları (Kullanım Şartları) ile Gizlilik Politikasını kabul etmiş sayılacaklarının belirtildiği , ancak Hizmet Koşulları kısmında onay alınırken ilgili metnin henüz Türkçe’ye tercüme edilmediği, bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesinin ihtimal dahilinde olduğu,
- Platformda hesap oluştururken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, TikTok’un Gizlilik Politikasının, esasen aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış bir metin olduğu, ancak açık rıza metni yerine de kullanıldığı, dolayısıyla, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (f) bendine göre açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetleri bakımından açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
- Veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı yapılan incelemeler neticesinde kurul tarafından tespit edilmiştir.

Tüm bu belirtilen hususlar neticesinde Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası[3] ve 18’inci maddesinin (1) numaralı fıkrasının (b) bendi[4] uyarınca 1.750.000 TL idari para cezası uygulanması yönünde karar vermiş bulunmaktadır.

[1] https://www.kvkk.gov.tr/Icerik/7538/2023-134
[2] 6698 S.K. 15/1 maddesinde; “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar” hükmü yer almaktadır.
[3] Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
[4] 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Etiketler
Tarih: 29-03-2023
#tiktok
#gizlilikpolitikasi
#acikriza
#kisiselveri
#kvkk
#gdpr