Vakıf Katılım web
Teknoloji 01.03.2023 07:00

Kişisel Verileri Koruma Kurulu'ndan TikTok'a 1 milyon 750 bin lira para cezası

Kişisel Verileri Koruma Kurulu (KVKK), çocukların kişisel bilgilerinin görüntülenmesi ve izinsiz veri toplanması ve kanuna aykırılıklar gerekçesiyle TikTok'a 1 milyon 750 bin lira para cezası verdi.
Kişisel Verileri Koruma Kurulu'ndan TikTok'a 1 milyon 750 bin lira para cezası

Kurumun internet sitesinde yer verilen kararda, sosyal medya platformu TikTok uygulamasıyla ilgili "açık rıza"nın 6698 sayılı Kişisel Verilerin Korunması Kanunu'na uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğu yönündeki şikayetler üzerine resen inceleme başlatıldığı bildirildi.

Bu kapsamda resen soruşturma başlatıldığı anlatılan kararda, soruşturma kapsamında TikTok'un gizlilik politikası ve hizmet koşullarının incelendiği, 2021 Ocak'ta gizlilik politikasında yapılan güncellemeyle 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının "özel" olarak değiştirildiği aktarıldı.

Bu sayede yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebileceği, videoları indirebilecek ve yorum yapabilecek kişilerin sınırlandırıldığının belirtildiği aktarılan kararda, şunlar kaydedildi:

"Belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlandırılma bulunmamasının, hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği, 2021 yılı Ocak ayında gizlilik politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu anlaşılmıştır."

"Kullanıcılara içerik kolay anlaşılır bir biçimde sunulmamakta"
Kararda, TikTok'un gizlilik sözleşmesinde hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği belirtilerek, "Bu hususta veri sorumlusunca Kanun'un 4'üncü maddesinde yer alan 'belirli, açık ve meşru amaçlar için işlenme' ve 'işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma' ilkelerine aykırı hareket edildiği anlaşılmıştır." tespiti yer aldı.

TikTok hesabı oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri halinde "kullanım şartları" gizlilik politikasını kabul etmiş sayılacaklarının belirtildiği ancak hizmet koşulları onay metninin Türkçeye tercüme edilmediği belirtilen kararda, "Bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesinin ihtimal dahilinde olduğu" kaydedildi.

Platformda hesap oluştururken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, TikTok'un gizlilik politikasının esasen aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış bir metin olduğu ifade edilen kararda, şunlar kaydedildi:

"Açık rıza metni yerine de kullanıldığı, dolayısıyla Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5'inci maddesinin (f) bendine göre açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetleri bakımından açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı tespit edilmiştir."

"Gizlilik politikası metinleri üç ay içerisinde kanuna uygun hale getirilmeli"
TikTok tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyeti kapsamında da kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı kaydedildi.

Kararda, şu değerlendirmelere yer verildi:

"Kanun'un 12'nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanun'un 18'inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1 milyon 750 bin lira idari para cezası uygulanmasına, ayrıca veri sorumlusunun ilgili kişilerin doğru bilgilendirilmesi adına hizmet koşullarının bir ay içerisinde Türkçeye çevrilmesi, ilgili kişilerin doğru bilgilendirilmesi için söz konusu gizlilik politikası metinlerinin üç ay içerisinde kanuna uygun hale getirilmesi, gizlilik politikasının, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanun'un 10'uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir."