0

KVKK' NİN FACEBOOK KARARI  HAKKINDA                      

                               KVKK' NİN FACEBOOK KARARI  HAKKINDA

     Geçtiğimiz aylarda Facebook nezdinde veri ihlalinin gerçekleştiği iddiaları yer almıştı. Facebook direktörlerinden Tomer Bar' ın yaptığı açıklamada özetle;

  • Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği,
  • Sorunun çözüldüğü, ancak bu kusur nedeniyle 13 Eylül - 25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği,
  • Üçüncü parti bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan kusurdan kaynaklı Marketplace veya Facebook Stories'de paylaşılan diğer fotoğraflara da üçüncü parti uygulamaların erişim sağladığı,
  • Ayrıca söz konusu kusurun Facebook kullanıcılarının Facebook'a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğrafları da etkilediği,
  • Açıklanan kusurun 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceği,
  • Açıklanan kusurun, Facebook'un fotoğraf API’sına erişmek için izin alan ve kişilerin fotoğraflarına erişebilen uygulamaları etkilediği,
  • Facebook uygulama geliştiricilerinin, uygulamalarını kullanan ve bu kusurdan etkilenen kişileri belirlemelerine imkân sağlayacak araçların geliştirileceği

     ifadelerini kullanmıştı.

Bunun üzerine KVKK bu durumu değerlendirerek dün bir karar verdi. Kurulun açıklamasında; işlenen verilerin kanuna aykırı şekilde başkaları tarafından elde edilmesi halinde veri sorumlusunun en kısa sürede durumu ilgili kişiye ve kurula bildirmesi gerektiği, bildirim yapılmaması halinde kurulun ihlali öğrenmesi halinde resen harekete geçeceği bildirilmiştir.

Veri ihlalini içeren bir bildirimin yapılmaması dolayısıyla kurul resen harekete geçerek konuyu incelemiş ve ihlal kararı vererek yaptırım uygulamıştır.

Kurulun açıklamasında özetle; 12 gün boyunca fotoğraf API hatasının bulunduğu, bu hatanın Facebook kullanıcılarının 3.kişilerin erişimine izin verdiğinden daha fazla sayıda fotoğrafa erişme imkanı verdiği aynı zamanda kullanıcıların taslak olarak kaydettiği fotoğraflara dahi erişimin hata sonucunda ulaşılabilir hale geldiği ve Türkiye' de yaklaşık 300.000 kişinin bu hatadan etkilendiği belirtilmiştir.

Kurul; 3.taraf uygulamaların Facebook kullanıcılarının izin verdiğinden çok daha fazla fotoğrafa erişim sağlanmasını "kişisel verilere hukuka aykırı şekilde erişilmesini önleme, hukuka ve dürüstlük kurallarına uygun olma, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" kurallarına aykırılık olarak değerlendirmiştir.

Facebook' un ihlalin etkilerini tam olarak belirleyememesi KVKK m.12/1' deki veri güvenliğine ilişkin sorumlulukların ihlali olarak belirlenmiştir.

Ayrıca kararda Facebook' un; uygulamaları ilk aşamada, kişisel verilerin işlenmesini ön şart olarak sunulmasının "hukuka ve dürüstlük kurallarına uygun olma" ilkesinin ihlaline sebep olduğuna yer verilmiştir.

Sonuç olarak kurul açıklanan gerekçelere dayanarak aşağıdaki kararını açıklamıştır:

1) Yukarıda gerekçeleriyle ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL oy birliğiyle,

2) Söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve 13.09.2018 - 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL oy birliğiyle 

idari para cezası uygulanmasına karar verilmiştir.

Son olarak kararda göze çarpan husus (1) numaralı gerekçe kapsamında 1.100.000 TL olarak belirlenen idari yaptırımın kanuni sınırın üstünde olduğudur. İlgili 18.maddenin 1.fıkrasının b bendinde; 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine
getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari yaptırıma karar verileceği açıkça belirtilmiştir.

                                                                                                         Tümay DÖNMEZ

 



Bu Bilgi Yararlı Oldu mu?
Anket Sonuçları
Kapat