Kişisel Verileri Koruma Kurulu, çocukların kişisel bilgilerinin görüntülenmesi ve izinsiz veri toplandığı gerekçesiyle TikTok’a 1 milyon 750 bin lira para cezası vermiştir.
İnternet ve sosyal medya platformu olan TikTok Pte. Ltd. hakkında, Kişisel Verileri Koruma Kurulu (“Kurul”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında açık rızanın usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda aykırılıkların yer aldığı, yazılıma ilişkin güvenlik açıklarının olduğuna dair çeşitli haber ve şikayetler doğrultusunda Kanun’un 15’inci maddesinin (1) numaralı fıkrası uyarınca resen inceleme başlatmıştır. Kurul, 2023/134 sayılı Kararı ile;
- TikTok’un Ocak 2021’de Gizlilik Politikası’nda yapmış olduğu güncelleme ile 13-15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirilmesiyle yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebileceği, indirebileceği ve yorum yapabileceği kişilerin sınırlandırıldığı belirtilmekle beraber; güncelleme öncesinde profillerin varsayılan olarak “herkese açık” görüntülenerek etkileşimde sınırlandırılmaya gidilmemesinin bu yaş grubunda olan kullanıcıların verilerine erişilmesi açısından risk teşkil ettiği ve riskin azaltılmasına ilişkin tedbir alınmadığı,
- Gizlilik Politikası güncellemesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel verilerinin uygun ebeveyn izni olmadan toplandığı,
- İnternet sitesinde yer alan Gizlilik Sözleşmesi’nde Kanun’un 5’inci maddesinde yer alan tüm veri işleme şartlarına yer verilerek kişisel verilerin işlenmesinin hangi amaç ve işleme şartına dayandığına dair net bir bilgi vermediğinden sebeple Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
- TikTok’ta kullanıcıların hesap oluştururken Hizmet Koşulları ile Gizlilik Politikasını kabul etmiş sayılacaklarının belirtildiği ancak, Hizmet Koşullarına ilişkin onay alınırken metnin henüz Türkçe’ye tercüme edilmediğinden kullanıcıların içeriğin tam olarak anlamadan kabul etmesinin ihtimal dahilinde olmasıyla birlikte kullanım şartlarının “kolay anlaşılır bir biçimde” sunulmadığı,
- Platformda esasen aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış olan TikTok’un Gizlilik Politikasının açık rıza metni yerine de kullanıldığından açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
- Profilleme amacıyla kullanılan çerezlerin kişisel veri işleme faaliyetine ilişkin ilgili kişilerden açık rıza alınmadığından kişisel veri işleme faaliyetinin hukuka uygun olmadığını
ifade ederek veri sorumlusu TikTok hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca talimatlarla birlikte 1.750.000 TL idari para cezası uygulanmasına karar verilmiştir. Kanun’un “Kabahatler” başlıklı 18’inci maddesi;
“(1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
…
idari para cezası verilir.” şeklindedir.
Kurul kararında yalnızca Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası vermiştir. Kurul, hukuka uygun aydınlatma yapılmadığının açıkça belirtilmesine rağmen Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında herhangi bir ceza verilmediğini görmekteyiz.
Muhtelif veri koruma otoritelerinin soruşturmalarına konu olan TikTok’un kararlarına baktığımızda;
- Temmuz 2020’de Güney Kore İletişim Komisyonu, 14 yaşından küçük kullanıcıların kişisel verilerinin ebeveyn izni olmaksızın toplandığı gerekçesiyle TikTok’a 186 milyon Won idari para cezası uygulanmasına,
- Hollanda Veri Koruma Otoritesi, Temmuz 2021’de, Tiktok’un 16 yaş altı kullanıcıların mahremiyetini ihlal ettiği gerekçesiyle 750.000 Euro idari para cezası uygulanmasına,
- ABD’de de ulusal yasalara aykırı olarak 13 yaşından küçük kullanıcıların ebeveynlerinden izin almadan çeşitli kişisel bilgilerini toplaması sebebiyle TikTok’a 5.7 milyon Dolar idari idari para cezası uygulanmasına
karar verilmiştir. Yukarıda bahsi geçen TikTok’a verilen idari para cezaları ile Kurul’un vermiş olduğu idari para cezasını karşılaştırdığımızda tutarlar arasında oldukça fark vardır.
Kurul, ulusal mevzuatımızda olmamasına rağmen 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında kabul gören “çocuğun rızası” kavramını ulusal düzeyde sorgulamıştır.
Karar, “Aydınlatma Yükümlülüğü, Açık Rıza, Gizlilik Politikası ve Çerez Politikasının hukuka uygun olması” gerektiğine dair önemi bir kez daha gözler önüne serilmiştir. Bununla birlikte; hassas olarak kabul ettiği “ebeveyn izni, çocuk verisi ve 13 ve 15 yaş arasındaki yaş grubuyla” birlikte ilkeleri tartışmaya açmıştır.
İşbu karar KVKK’nın ivedilikle GDPR ile uyumlu hale getirilmesi gerektiğini hatırlatsa da aynı zamanda şirketler ve uygulayıcılar açısından veri koruma hukukunun bütüncül düşünülmesi gerektiğini gözler önüne sermiştir. Böylelikle, kişiselleştirilmemiş matbu metinlerin hukuka uygun olmadığı ve yetersiz kaldığı ortaya koyulmuştur.
Daha fazla bilgi için lütfen irtibata geçin.
Saygılarımızla,
SGU HUKUK LAW & CONSULTING
