Kişisel Verilerin Korunması Kurulu’ndan, Gerekli Tedbirleri Almayarak Veri Güvenliği İhlaline Sebep Olan Ve İhlal Bildirimini Zamanında Yapmayan Facebook’a Rekor Ceza
2017 yılında İspanya’daki Kişisel Verileri Koruma Kurulu tarafından 1,2 milyon Euro para cezası uygulanan Facebook’a bir ceza da Kişisel Verilerin Korunması Kurulu’ndan geldi. İspanya Kişisel Veri Koruma Kurulu’nun, hiçbir talep olmaksızın kullanıcıların verilerini reklam amaçlı kullandığının tespit edildiğini belirttiği Facebook’un, bu bilgileri silme talebini de reddettiği, nerede kullanılacağının açık bir şekilde belirtilmemesine rağmen kullanıcılardan cinsiyet, ideoloji, dini inanç, kişisel zevkler veya internette dolaşım bilgilerini topladığını ve kişisel verilerin yasaya aykırı şekilde kullandığı gerekçesiyle
Facebook’a 1,2 milyon Euro para cezası uygulandığını duyurmuştu. 87 milyon ABD vatandaşının kişisel verilerini seçmen davranışı olarak kullanılmak üzere şirketlerle paylaşmakla itham edilen ve yaptığı iddia edilen veri ihlalleri ile gündemden düşmeyen Facebook’un ABD Federal Ticaret Komisyonu ile görüşmelerinin devam ettiği biliniyordu.
ABD Federal Ticaret Komisyonu’nun Facebook’a 2012 yılında Google’a uyguladığı 22.5 milyon Dolar cezadan daha yüksek bir ceza uygulaması bekleniyordu. Son olarak Almanya Rekabet Kurumu da Facebook’un kullanıcı hesaplarındaki verileri toplama, birleştirme ve kullanma kapsamının, sektördeki baskın durumun kötüye kullanılması sonucunu doğurduğuna ve Facebook’un üçüncü taraf kaynaklardan neredeyse sınırsız şekilde kişisel veri toplamasının hukuka aykırı olduğuna değinerek, Facebook’a geniş kapsamlı veri sınırlaması getirmişti.
Tüm dünyada kişisel veri ihlali iddiası ile gündeme gelen Facebook’a yaptırım uygulayan ülkelerden biri de Türkiye oldu. Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde Facebook üzerinden “Geliştirici ekosistemimizin bir fotoğraf API’si hatası hakkında bilgilendirme” başlığıyla yapılan duyuru Kişisel Verilerin Korunması Kurulu’nu harekete geçirdi. Facebook tarafından yapılan söz konusu duyuruda, Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü, ancak bu kusur nedeniyle 13 Eylül – 25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde
fotoğraflara erişmiş olabileceği, üçüncü parti bir uygulamaya Facebook platformu
üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken Marketplace veya Facebook Stories’de paylaşılan diğer fotoğraflara da üçüncü parti uygulamaların erişim sağladığı, bu durumun Facebook kullanıcılarının Facebook’a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğrafları ve bu kapsamda 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceği kamuoyuna duyurulmuştu. Söz konusu duyuruda bir veri ihlali olduğu belirtilmesine rağmen, bu konuda Kişisel Verilerin Korunması Kurulu’na Facebook tarafından yapılan bir bildirim olmadığını tespit eden Kurul, Kanun’un verdiği re’sen inceleme yetkisine dayanarak re’sen inceleme kararı aldı ve yapılan inceleme neticesinde Facebook’un gerekli tedbirleri almayarak veri güvenliği ihlaline sebep olduğuna ve ayrıca ihlal bildirimi yükümlülüğüne de aykırı davrandığına karar vererek, şuana kadar kamuoyuna yansıyan en yüksek para cezasını Facebook’a uyguladı.
Kurul’un şuana kadar yayınladığı kararlarında, veri sorumlusu isimlerini gizli tutmamasına rağmen, Facebook kararında hem ceza uygulanan şirketin hem de uygulanan cezanın miktarına açık şekilde yer vermesi dikkat çekti. 10 Mayıs 2019 tarihinde Kurul’un internet
sitesinden yayımladığı duyuruda başlatılan inceleme neticesinde tespit edilen hususlar aşağıdaki şekilde sıralandı;
– Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, Facebook tarafından yapılan inceleme sonrası bu durumu potansiyel bir yazılım bozukluğu olarak rapor ettiği,
– API hatasının 13 Eylül
– 25 Eylül 2018 tarihleri arasında 12 gün boyunca gerçekleştiği, bahse konu API hatasına Facebook tarafından zamanında müdahale edilmemesi bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu,
– Üçüncü taraf bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan ihlalden kaynaklı Marketplace veya Facebook Stories’de paylaşılan diğer fotoğraflara da üçüncü taraf uygulamaların erişim sağladığı, ayrıca Facebook kullanıcılarının Facebook’a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflara da söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate alındığında, Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda fotoğraflara erişim sağlanmasının, Kanunun 12 nci maddesinin (1) numaralı fıkrasına ve 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği,
– Facebook’un bahsi geçen üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, bu durumun Facebook’un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı ve bu kapsamdaki hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasında öngörülen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil ettiği,
– Facebook platformu uygulamaları daha ilk aşamada “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin almaktadır. İlgili kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmaktadır. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendine belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
– Açıklanan ihlalin 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500
uygulamayı etkilemiş olabileceği,
– Türkiye’de bulunan yaklaşık 300 bin kullanıcının veri ihlalinden etkilenmiş olabileceği,
– Kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan Facebook veri ihlali, Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde https://developers.facebook.com/blog/post/2018/12/14/notifying-ourdeveloperecosystem-about-a-photo-api-bug/ adresinde söz konusu Facebook uygulamasından kaynaklanan ihlalin “Geliştirici ekosistemimizi bir fotoğraf API’si hatası hakkında bilgilendirme” başlığıyla duyurmasının böyle bir ihlalin varlığı ve Facebook tarafından kabulü anlamına geleceği.
Yukarıda yer verilen tüm bu tespitler neticesinde; bu durumun bir veri ihlali olduğu
ve ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri alınmadığı vurgulanarak, Facebook hakkında Kanunun 18 ncimaddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL; ayrıca öz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve 13.09.2018 – 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede Facebook’un Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa
sürede bildirim yapma yükümlülüğüne de aykırı hareket ettiği belirtilerek, bu kapsamda Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL idari para cezası uygulanmasına karar verildi.
Anadolu Ajansı’nın haberine göre, Facebook 1 milyon 650 bin liralık idari para
cezasını ödedi.
Kaynak: www.kvkk.gov.tr
Kaynak: ozgunlaw.com
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.