Kişisel Verileri Koruma Kurulu ("Kurul"), 10 Mayıs 2019'da yayınlanan 11.04.2019 tarih ve 2019/104 sayılı kararı ile Facebook'a 1.650.000 TL tutarında ceza kesti1.

NEDİR?

Cezaya konu olay Facebook Mühendislik Direktörü Tomer Bar tarafından 14 Aralık 2018 tarihinde yapılan bir duyuru2. Duyuruda Facebook fotoğraf API'ında gerçekleşen bir bug nedeniyle üçüncü kişi uygulamalara fotoğraf izni verilmesi nedeniyle bu uygulamaların, hedeflendiği gibi sadece timeline fotoğraflarına değil, Facebook stories ve Marketplace gibi diğer fotoğraf içeren bölümlerdeki fotoğraflara da erişim sağlayabilmesi. Hatta erişim sağlayabildikleri fotoğrafların arasında yüklenmeye başlanmış fakat henüz yüklenmemiş fotoğraflar da var. Bar, bunun sebebini Facebook'un henüz yüklenmemiş fotoğrafların tekrar yüklenebilmesi için tanıdıkları 3 günlük süre olarak açıklıyor.

Bar, açıklamasında, bu hatanın 6.8 milyon kullanıcıyı etkilediğini ifade ediyor. Bu erişim 12 gün boyunca devam ediyor ve Facebook tarafından durduruluyor.

KANUNA NASIL AYKIRI?

Kurul tarafından yapılan açıklamaya göre:

Olayın 12 gün boyunca gerçekleşmesi Teknik ve idari tedbirlerin eksikliği
Timeline'ın ötesinde erişim sağlanması "Hukuka ve dürüstlük kurallarına uygun olma" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırılık.
Üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa gerçekten erişip erişemediklerinin belirlenememesi Veri güvenliği yükümlülüklerine aykırılık.
Kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin alınarak ilgili kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerin ve gizlilik ayarlarının üzerinde kontrol sağlamayarak, kişisel verilerin bu şekilde işlenmesinin açık rızaya dayandırılması "Hukuka ve dürüstlük kurallarına uygun olma" ilkesine aykırılık.

Bu kararın en önemli bölümlerinden biri de API bugına ek olarak ilgili kişiden alınan rızanın belli bir şekilde, kişi tarafından özelleştirmeye imkân sağlamadan alınması ve üstüne üstlük bu rıza verilmeden hizmetin verilmemesi. Bu da Kurul'un en çok önemsediği hususlardan birinin "açık rızanın hizmet şartına bağlanmaması" olduğunu bir kez daha bize gösteriyor.

CEZALAR NELERDİR?

Gerekli teknik ve idari tedbirlerin alınmaması (Kişisel Verilerin Korunması Kanunu madde 12/1) 1.100.000 TL
İlgili kişilere yaklaşık 3 ay sonra bildirim yapılması ve kuruma bildirim yapılamaması 550.000 TL

Yeniden değerleme oranları dikkate alındığında 12. madde ihlali halindeki azami ceza tutarının yaklaşık 1.470.000 TL olduğu düşünüldüğünde Kurul'un azami tutara yakın bir ceza kestiğini söylemek mümkün.

Bildirim süresi bakımından verdiği ceza ise azami tutarın yarısına yakın.

CEZA NASIL ÖDENECEK?

Türkiye'deki faaliyetlerini Facebook Ireland Ltd. üzerinden gerçekleştiren Facebook'un Türkiye sınırları içerisinde herhangi bir tüzel kişiliği bulunmuyor. Bu yüzden standart bir kamu alacağı tahsili sürecinin uygulanamayacağı aşikâr. Fakat elbette ki bu tip durumlar Amme Alacakların Tahsil Usulü Hakkında Kanun ve ilgili mevzuat çerçevesinde düzenlenmiş.

Peki nasıl tahsil edilecek?

Facebook'un belirlenen bir ödeme yöntemi veya Amme Alacaklarının Tahsil Usulü Hakkında Kanun çerçevesinde belirtilen şekillerde ödeme yapması mümkün, yapmaması halinde ise aynı kanunun ikinci kısmında yer alan "amme alacağının cebren tahsili" hükümleri uygulanacak.

Bu çerçevede;

  • Facebook tarafından bir teminat gösterilmişse bu teminat paraya çevrilebilir (Madde 54/1)
  • Varsa borcuna yetecek miktardaki mallarının haczedilerek paraya çevrilmesi (Madde 54/1)
  • Mal bildiriminde gösterilen veya tahsil dairesince tespit edilen borçlu veya üçüncü şahıslar elindeki menkul malları ile gayrimenkullerinden, alacak ve haklarından amme alacağına yetecek miktarının haczi (Madde 62/1)

Kısaca Facebook'un usulünce ödememesi halinde Türkiye'deki malvarlığının haczedilmesi veya üçüncü kişilerin Facebook'a olan borçlarına el konularak bu borcun kamuya ödenmesinin zorunlu tutulması (madde 79/1) gibi çeşitli yöntemlerle para cezasının tahsili mümkün. Resmi olmayan kaynaklardan elde edilen bilgilere göre Facebook'un 2018 yılını 2.5 milyar TL ile kapattığı tahmin edildiği ve bu gelirin büyük bir çoğunluğunun da reklam gelirlerinden olduğu düşünüldüğünde3 bu cezanın Facebook'tan tahsil edilemeyeceği sonucuna varmak pek mümkün görünmüyor.

Bir yandan da Kurul'un yaptırım gücünü düşünürken, Kişisel Verilerin Korunması Kanunu'nun 15. maddesi çerçevesinde Kurul'un, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilme yetkisini de unutmamak gerek.

NE ANLAMA GELİYOR?

Kurul, Facebook'a kestiği ceza ile Facebook'a kişisel veri ihlali sebebiyle yaptırım uygulayan kamu kurumları kervanına katılıyor. Şu ana kadar Facebook'a uygulanan büyük miktardaki cezalar, İngiltere veri koruma otoritesi ICO tarafından Cambridge Analytica ihlali çerçevesinde kesilen 500.000 Sterlin tutarındaki ceza4 ile kullanıcıları bu konuda bilgilendirmeden verilerinin ticari amaçlarla üçüncü kişilerle paylaşılması sebebiyle İtalyan Rekabet Kurumu (AGCM) tarafından kesilen 10.000.000 Euro tutarındaki cezalardı5. Şu anda ise halen ABD ile Facebook arasında Cambridge Analytica ihlali sebebiyle milyarlarca dolar tutarında verilmesi beklenen ceza konusunda görüşmelerin devam ettiği söyleniyor6.

Kurul'un bu kararı, Facebook aleyhine verilen ilk veri ihlali cezalarından olması sebebiyle önem teşkil ediyor. Üstelik bu ceza, bilindiği kadarıyla söz konusu Facebook API hatasına da verilen tek ceza.

Bu kararın, aynı zamanda, Kurul'un, merkezi yurt dışında olan fakat Türkiye'deki kişilerin kişisel verilerini işleyen şirketlere karşı da atıl kalmayacağına ilişkin üstü kapalı bir beyanı anlamına geldiği de düşünülebilir.

Footnotes

[1] https://www.kvkk.gov.tr/Icerik/5450/2019-104

[2] https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/

[3] https://www.haberturk.com/facebook-turkiye-vergi-kapsamina-alindi-2426683-teknoloji

[4] https://www.theguardian.com/technology/2018/oct/25/facebook-fined-uk-privacy-access-user-data-cambridge-analytica

[5] https://www.euronews.com/2018/12/08/italy-fines-facebook-10million-for-misleading-users-over-data-practices

[6] https://www.reuters.com/article/us-facebook-fine/u-s-negotiating-multibillion-dollar-fine-with-facebook-report-idUSKCN1Q333S

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.