Kişisel Verileri Koruma Kurulu TikTok Hakkında 1 Milyon 750 Bin TL Para Cezasına Hükmetti
06.03.2023
01.03.2023 tarihli ve 2023/134 karar numaralı Kişisel Verileri Koruma Kurulu ("KVKK") kararı ile TikTok Pte. Ltd. ("TikTok") şirketinin sosyal medya platformuyla ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında belirtilmiş olan açık rızanın usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması aşamalarında ihlallerin bulunduğu ve söz konusu platformun yazılımına dair birçok güvenlik açığı olduğu tespit edilmiş; bunun sonucunda 1 milyon 750 bin TL değerinde idari para cezası verilmiştir.
TikTok Neden Ceza Alıyor?
TikTok, temel olarak kullanıcıların kısa videolar izlemesini ve paylaşmasını sağlayan bir sosyal medya platformudur. Dünyamızın dijitalleşmesiyle ortaya çıkan sorunlardan birisi olarak dikkat süresinin kısalması, kişilerin iş yapış sürelerinden tüketim hızlarına kadar hayatının her noktasına etki etmektedir. TikTok’a yüklenen videoların kısa olması ve kullanıcıya hızlı bir şekilde içerik aktarması, günümüzün rekabetçi koşullarında uygulamayı diğerlerinden farklı kılarak öne çıkarmaktadır. Her ne kadar bu hız ve erişebilirlik bize cazip gelse de TikTok’un her ücretsiz ve açık sosyal medya platformu gibi gizlilik ve güvenlik tehlikesi barındırdığının unutulmaması gerekir. TikTok üzerinden oluşturduğunuz hesabınız varsayılan olarak halka açıktır; yani herkes paylaşımlarınızı görebilir, konumunuzu öğrenebilir ve özel mesaj atabilir. Kişi bazlı güvenlik sorunlarının yanı sıra şirket bazlı da güvenlik sorunları barındıran TikTok, cihazınızın işletim sistemi panosundaki verilere ulaşabilmesi, kamera-mikrofon erişimi, kişi listesi ve GPS bilgilerinizi talep etmesi gibi birçok veri toplamaktadır. Bunun neticesinde güvenlik ve gizlilik ihlalleri ortaya çıkmaya başlamıştır.
İngiltere’de 2021 yılında İngiltere Çocuk Komisyonu eski üyesi Anne Longfield tarafından açılan davada 13 yaş altı çocukların telefon numaraları, videoları, konumları ve biyometrik bilgileri gibi hassas verilerinin “yeterli uyarılar olmaksızın” toplandığı iddia edilmişti. İngiltere Bilgi Komisyonu Başkanlığı’nın yaptığı soruşturma sonucunda söz konusu verilerin ebeveyn izinleri olmadan kullanıldığı ortaya konuldu. İlgili dava hala görülmekte olup şu an için TikTok hakkında öngörülen ceza 27 milyon sterlin olarak belirtilmektedir. Aynı şekilde TikTok, Hollanda Veri Koruma Kurumu tarafından uygulamanın Felemenkçe altyapısının yeterli olmaması ve bilgilendirme metinlerinin bu dilde sunulmaması nedeniyle, çocuk kullanıcıların verilerinin toplanmasının hak ihlali oluşturduğu iddiasıyla açılan davada 750 bin euro idari para cezasına çarptırılmıştı. 2019’da ABD Federal Ticaret Komisyonu tarafından 5,7 milyon dolar ceza alan uygulamaya, Kanada’da da devlet çalışanlarına erişim yasağı getirilmişti.
Yukarıda belirtilen gizlilik ihlallerine benzer olarak KVKK, Kanun’un 15. maddesinin 1. fıkrası uyarınca incelemeler başlattı. Her ne kadar TikTok 2021 yılında güncellemeler ile 13-15 yaş aralığındaki kullanıcılar için hesap gizlilik ayarını “özel” olarak değiştirse de yapılan incelemeler sonucunda;
- bu kişilerin verilerine erişimde risklerin ortadan kalkmadığı,
- diğer ülkelerde olduğu gibi 13 yaş altı kullanıcıları verilerinin toplanmasında ebeveyn izni aranmadığı,
- kullanıcılara verilerin işlenme amaç ve süreçlerine ilişkin yeterli bilgi verilmediği,
- kullanıcıların hesap oluştururken hizmet koşulları ile gizlilik politikasını kabul etmiş sayılacakları fakat hizmet koşulları metninin henüz Türkçe tercümesinin bulunmaması sebebiyle kullanıcıların Hizmet Koşullarını tam olarak anlayamadan kabul ettiği,
- herhangi bir açık rıza metninin bulunmaması sebebiyle gizlilik politikasının açık rıza metni olarak kullanıldığı, ve
- veri sorumlusu tarafından kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı anlaşılmıştır.
Kişisel Verilerin Koruma Kurulu’nun Kararı
Yukarıda belirtilen ihlaller sonucunda Kanun’un 12. maddesinin 1. fıkrası uyarınca veri sorumlusu sıfatıyla TikTok’un gerekli önlemleri almaması nedeniyle, Kanun’un 18. maddesinin 1. fıkrasının (b) bendi uyarınca 1.750.000 TL idari para cezası uygulanmasına ve veri sorumlusu TikTok’un;
- Hizmet koşullarının 1 ay içerisinde Türkçe tercümesini hazırlaması
- Gizlilik politikası metinlerini 3 ay içinde Kanun’a uygun şekilde düzeltmesi
- Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapması konularında talimatlandırılmasına hükmedilmiştir.
Sonuç
Popüler sosyal medya uygulamalarından TikTok, artan denetimler sonucunda küresel çapta da gizlilik ihlalleri haberleriyle gündeme gelmeye başladı. Sosyal medya platformlarının gizlilik ihlallerine karşı verilen cezalarda önemli bir yer tutacağını gösteren bu karar, belirli bir yaş grubuna ait kullanıcılara ait gizlilik ayarlarının düzenlenmesi ve 13 yaş altı kullanıcıların ebeveyn izni olmadan kişisel verilerinin toplanmasının ihlal olarak belirtilmesi açısından önemlidir. TikTok’a yönelik verilen bu kararlar mevcut ve ileride piyasaya katılacak olan yeni sosyal medya uygulamalarına getirilecek emsal bir sınırlama teşkil etmektedir. Meta, Twitter ve Youtube gibi veri işleyen büyük şirketlerin verilen bu kararları kendilerine örnek alarak devamlılıklarını sağlamaları için iç politikalarını ve sistemlerini yenilemesi gerekir. Dijital çağın en yaygın görülen etkilerinden biri olan teknolojiyle tanışma yaşının her geçen gün düşmesi ve sosyal medya uygulamalarının giderek daha küçük yaş gruplarına hitap etmesi sebebiyle uygulamalarının sık ve detaylıca denetlenmesi bir gereklilik arz etmektedir. Türkiye’de verilen bu karar Kanun’a yönelik uyum süreçlerinin mutlaka bir profesyonel tarafından yürütülmesi gerektiğinin önemi bir kez daha kanıtlanmıştır.
Makaleye katkıları için İrem Alp'e teşekkür ederiz.
Kaynaklar
https://techcrunch.com/2023/02/27/canada-bans-tiktok-on-government-devices/
https://www.kvkk.gov.tr/Icerik/7538/2023-134
https://edpb.europa.eu/news/national-news/2021/dutch-dpa-tiktok-fined-violating-childrens-privacy_en
-
Kemal Altuğ Özgün
Managing Partner