Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07.04.2016 tarihli Resmi Gazete’de yayımlanmış ve yürürlüğe girmiş olup bu kapsamda KVKK madde 21 uyarınca kurulan Kişisel Verileri Koruma Kurulu (Kurul) da faaliyetlerine başlamış ve günlük hayatta toplumun her kesiminden insanı ilgilendiren ve Kanun hükümlerinin uygulanış şekillerine ilişkin olarak kararlar tesis etmeye ve bu kararları da internet sitesinden yayınlamaya başlamıştır.
Kurul tarafından alınan ve özeti internet sitelerinde yayımlanan güncel kararlardan biri de, sosyal paylaşım sitesi Facebook tarafından gerçekleştirilen veri ihlaline ilişkindir.
Kişisel Verileri Koruma Kurulu’nun 11.04.2019 tarihli ve 2019/104 sayılı karar özeti, Kurul’un internet sitesinde yer almaktadır.
Yayımlanan kararda özetle;
Facebook’taki veri ihlalinin Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde “Geliştirici ekosistemimizin bir fotoğraf API'si hatası hakkında bilgilendirme” başlığıyla duyurulduğu ve yapılan duyuru kapsamında, kişisel veri niteliğinde olan Facebook kullanıcı fotoğraflarına üçüncü kişilerin erişimini sağlayan bir hata keşfedildiği, hatanın giderildiği fakat 13-25 Eylül 2018 tarihleri arasında 12 gün boyunca yetkisi/izni olmayan üçüncü kişilerin kişisel veri niteliğindeki fotoğraflara erişmiş olabilecekleri, bu erişimin sadece veri sahipleri tarafından izin verilen “zaman çizelgesinde” yer alan fotoğraflara değil, Marketplace ve Facebook Stories’de paylaşılan diğer fotoğraflara ve veri sahiplerinin taslak olarak yüklediği fakat henüz paylaşmadığı fotoğraflara da ulaştığı, bu hata ve devamındaki ihlalden 6.8 milyon kullanıcının ve 1.500 uygulamanın etkilenmiş olabileceği bildirilmiştir.
Kararda özetlenen olay, KVKK hükümleri uyarınca veri gizliliğine ve mahremiyetine aykırı bir husus olması sebebiyle açık bir veri ihlalidir. Buna ek olarak Facebook, veri sorumlusu olarak KVKK madde 12’de yer alan veri güvenliğine ilişkin yükümlülüklerini de yerine getirmemiştir.
KVKK madde 12/5,
“İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”
Şeklinde düzenlenmiş olup gerçekleşen veri ihlali akabinde veri sorumlusu Facebook tarafından Kurul’a hiçbir bildirimde bulunulmamıştır. Nihai olarak Kurul tarafından yapılan incelemeler neticesinde,
- Facebook tarafından “potansiyel bir yazılım bozukluğu” olarak tanımlanan bu olayın, Kurul tarafından, Facebook’un zamanında müdahale etmediği bir ihlal olarak değerlendirildiği ve veri sorumlusu Facebook’un veri güvenliğine ilişkin teknik/idari tedbirleri almasında eksikliklerinin olduğu;
- Veri sahibi Facebook kullanıcılarının fotoğraflarına erişim hakkında verdikleri izinlerin, üçüncü kişilerce sadece zaman çizelgesinde yer alan fotoğraflara erişimi sağlaması gerekirken, karara konu olayda Marketplace ve Facebook Stories’de paylaşılan diğer fotoğraflara ve veri sahiplerinin taslak olarak yüklediği fakat henüz paylaşmadığı fotoğraflara da üçüncü kişilerin erişiminin sağlanmasının, Kanunun 12. maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklere ve 4. maddesinin (2) numaralı fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olduğu;
- Facebook platformu uygulamalarının “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin aldığı, veri sahibi kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırdığı, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği ve bu durumun Kanunun 4. maddesinin (2) numaralı fıkrasının (a) bendine belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği;
- Türkiye’de bulunan yaklaşık 300 bin kullanıcının veri ihlalinden etkilenmiş olabileceği;
Tespitleri yapılmış ve bu kapsamda yukarıda özetlenen ve açıklana olayın bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12. maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL idari para cezası uygulanmasına; ayrıca söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve 13-25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirim yapılmaya başlandığının tespit edildiği, bu çerçevede Kanunun 12. maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Facebook hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL idari para cezası uygulanmasına oy birliğiyle karar verilmiştir.
Karar özetine https://www.kvkk.gov.tr/Icerik/5450/2019-104 linkinden ulaşabilirsiniz.
Comments