KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN FACEBOOK’A VERİLEN CEZA HAKKINDA

11.05.2019

Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde yapılan açıklamada, Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatasının keşfedildiği, bu kusur nedeniyle bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği bildirilmiştir.

Kişisel Verileri Koruma Kurul’u tarafından, ifade edilen durumun “veri gizliliğine/mahremiyetine” aykırı bir husus olması sebebiyle veri ihlali teşkil ettiği ve bu ihlalin 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 12.maddesinin 5.fıkrası uyarınca en kısa sürede Kurul’a bildirilmesi gerekirken Facebook tarafından herhangi bir bildirimin yapılmadığı tespit edilmiş; Kanun’un 15. maddesinin 1.fıkrası uyarınca Kurul tarafından resen inceleme yapma kararı alınmıştır.

Kurul tarafından yapılan resen inceleme neticesinde;

1. Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, Facebook tarafından yapılan inceleme sonrası bu durumu potansiyel bir yazılım bozukluğu olarak rapor ettiği,
2. API hatasının 13 Eylül - 25 Eylül 2018 tarihleri arasında 12 gün boyunca gerçekleştiği, bahse konu API hatasına Facebook tarafından zamanında müdahale edilmemesi bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu,
3. Üçüncü taraf bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan ihlalden kaynaklı Marketplace veya Facebook Stories'de paylaşılan diğer fotoğraflara da üçüncü taraf uygulamaların erişim sağladığı, ayrıca Facebook kullanıcılarının Facebook'a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflara da söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate alındığında, Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda fotoğraflara erişim sağlanmasının, Kanun’un 12. maddesinin 1. fıkrasına ve 4. maddesinin 2. fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği,
4. Facebook’un bahsi geçen üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, bu durumun Facebook’un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı ve bu kapsamdaki hususun Kanun’un 12.maddesinin 1.fıkrasında öngörülen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil ettiği,
5. Facebook platformu uygulamaları daha ilk aşamada “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin almaktadır. İlgili kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmaktadır. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Bu durumun Kanun’un 4.maddesinin 2. fıkrasının (a) bendine belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
6. Açıklanan ihlalin 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceği ve Türkiye’de bulunan yaklaşık 300 bin kullanıcının veri ihlalinden etkilenmiş olabileceği,
7. Kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan Facebook veri ihlali, Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/ adresinde söz konusu Facebook uygulamasından kaynaklanan ihlalin “Geliştirici ekosistemimizi bir fotoğraf API'si hatası hakkında bilgilendirme” başlığıyla duyurmasının böyle bir ihlalin varlığı ve Facebook tarafından kabulü anlamına geleceği

hususları tespit edilerek Kurul tarafından,

1. Facebook tarafından veri ihlali oluşmasına rağmen KVKK’nın 12. maddesinin 1.fıkrası kapsamında gerekli teknik ve idari tedbirlerin alımadığı gerekçesiyle Facebook hakkında KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca 1.100.000 TL,
2. İlgili veri ihlalin daha önce tespit edilmesine rağmen Kurul’a herhangi bir bildirimin yapılmadığı ve 13/09/2018 – 25/09/2018 tarihleri arasında gerçekleşen veri ihlalin Facebook tarafından ilgili kişilere 17.12.2018 tarihinde oldukça gecikmeli olarak bildiride bulunduğu ve bunun sonucunda KVKK’nın 12.maddesinin 5.fıkrasında belirtilen “en kısa sürede bildirim yapılması gerektiği” hükmüne aykırılık teşkil etmesi sonucunda KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca 550.000 TL

idari para cezası uygulanmasına karar verilmiştir.

İlgili kararın özetine buradan ulaşabilirsiniz.

İşbu yazı hakkında ek bilgi gerektiğinde bizlerle irtibata geçmenizi rica ederiz.

NAZALI HUKUK info@nazali.av.tr

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz