12 Nis Kişisel Verileri Koruma Kurulu’nun Vermiş Olduğu TikTok Kararı
Kişisel Verileri Koruma Kurulu (“Kurul”), uzun bir aradan sonra, 2023 yılının ilk karar özetini yayınladı. Kurul bir sosyal medya platformu olan TikTok hakkında çıkan haberler ve aldığı şikayetlerden hareketle re’sen bir inceleme başlatmış ve 6698 sayılı Kişisel Verileri Koruma Kanunu (“Kanun”) kapsamında gerçekleştirmiş olduğu incelemeyi 2023/134 sayılı kararıyla sonuçlandırmıştır. İlgili karara buradan ulaşabilirsiniz.
Kurul yaptığı inceleme sonucunda;
- 2021 yılı öncesinde 13-15 yaş aralığında bulunan TikTok kullanıcılarının herkese açık profillerinin bulunarak yaptıkları etkileşimlere bir sınırlandırma getirilmemiş olduğunu ve 13 yaş altı kullanıcıların uygun ebeveyn izni olmadan bilgilerinin toplandığını, bu durumun hassas yaş grubunda bulunan kullanıcıların kişisel verilerine erişilmesi kapsamında bir risk teşkil ettiğini,
- Veri sorumlusunun Gizlilik Sözleşmesinde KVKK’nın 5. Maddesinde yer alan bütün veri işleme şartlarının yazıldığını ancak hangi kişisel verinin hangi amaçla ve hangi veri işleme şartına dayanarak işlendiği hakkında net bilgi verilmediğini,
- Kullanıcıların hesap oluştururken kabul etmiş olarak sayılacakları metinlerden Hizmet Koşulları’nın henüz Türkçeye çevrilmediğini,
- Platformda hesap oluştururken ve sonrasında platformu kullanırken TikTok’un hazırlamış olduğu bir açık rıza metninin bulunmadığını ancak aydınlatma metni olarak hazırlanan Gizlilik Politikasının açık rıza metni gibi kullanıldığını ve bu durumun açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartını sağlanmadığını,
değerlendirmiştir.
Bu değerlendirmelerden hareketle Kurul kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında 1.750.000 TL para cezası uygulanmasına karar vermiştir. Ayrıca Kurul veri sorumlusuna Hizmet Koşullarını 1 ay içerisinde Türkçeye çevirmesi, Gizlilik Politikası metinlerini 3 ay içerisinde Kanun’a ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirmesi hususlarında talimat vermiştir.
Halka açık veri ihlal bildirimleri sonucu ceza uygulanan şirketler dışında verdiği kararlarda veri sorumlusu şirketleri belirtmekten kaçınan Kurul bu kararıyla veri sorumlusu şirketi belirterek alışılmışın dışında hareket etmiştir. Genellikle yeni veya farklı bir durum ortaya çıktığında kamuoyunu bilgilendirmek için karar yayınlayan Kurul burada da farklılaşmıştır. Kanımızca Kurul’un burada amacı kamuoyunu yeni bir hukuki içtihat hakkında bilgilendirmekten çok kamuoyundan tepki toplayan veri sorumlusu hakkında işlem yapıldığını bildirmek ve kamuoyunu rahatlatmak olmuştur. Ayrıca veri sorumlusu şirketin büyüklüğü ve ihlalin kapsamı düşünüldüğünde kesilen cezanın üst sınıra yakın olmaması da dikkat çekmektedir. Ancak verilen ceza hususunda sağlıklı bir değerlendirme yapamamaktayız keza kararın özetinde veri sorumlusu şirketin savunmasına yer verilmemiştir.
Kişisel verilerinizin korunması veya şirketinizin kişisel veri hukuku uyumluluğu hususlarında uzman hukuki destek almak için İzmir Kişisel Veri Hukuku Avukatlarımıza ulaşabilirsiniz.
