Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURUMU’NUN FACEBOOK KARARI

Gün geçtikçe artan sosyal medya kullanımı dolayısıyla kişisel hesaplarımız bizim hakkımızda birçok bilgiyi içinde barındıran veri deposu olmaktadırlar. Kişisel verilerin önemi ve kötü niyetli kullanım amaçları düşünüldüğünde çokça bilgi paylaşımı yaptığımız sosyal platformlarda bizim için en önemli şeylerden birinin ise güvenlik olduğunu söyleyebiliriz.  

Geçtiğimiz günlerde Facebook Mühendislik direktörü Tomer BAR kişisel bloğunda “Geliştirici ekosistemimizin bir fotoğraf API’si hatası hakkında bilgilendirme” başlığıyla Facebook tarafından engellenememiş bir yazılım hatası keşfedildiğini kamuoyuyla paylaştı. İlgili duyuruya https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/’ adresinden ulaşılabilir. Bu duyuruda kısaca yazılım hatası sebebiyle 13 Eylül – 25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceğinin ve kullanıcıların henüz paylaşılmamış taslak olarak yer alan fotoğraflarına dahi ulaşılabileceğinin bilgisi yer almaktaydı. 

Kişisel Verileri Koruma Kurumu, bu paylaşımdan sonra kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedilmesi sebebiyle re’sen inceleme başlatmış ve bu incelemenin sonucunu ise 10 Mayıs 2019 tarihinde sitesinde yayınlamıştır.
Yapılan inceleme neticesinde Kurul, kişisel veri mahremiyetinin ihlal edildiği ve bu ihlalin önlenmesi için alınan teknik ve idari tedbirlerde eksiklik olduğunu tespit etmiş ve Facebook hakkında toplamda 1.650.000,00.-TL tutarında idari para cezasına hükmetmiştir. Kurul tarafından verilen bu kararın temel dayanaklarını şu şekilde sıralayabiliriz;

  • Facebook tarafından kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, Facebook’un yapılan inceleme sonrası bu durumu potansiyel bir yazılım bozukluğu olarak rapor etmesi,
  • API hatasının 13 Eylül – 25 Eylül 2018 tarihleri arasında 12 gün boyunca gerçekleştiği, bahse konu API hatasına Facebook tarafından zamanında müdahale edilmemesi bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olması,
  • Üçüncü taraf bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan ihlalden kaynaklı Marketplace veya Facebook Stories’de paylaşılan diğer fotoğraflara da üçüncü taraf uygulamaların erişim sağladığı, ayrıca Facebook kullanıcılarının Facebook’a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflara da söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate alındığında, Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda fotoğraflara erişim sağlanmasının, Kanunun 12 nci maddesinin (1) numaralı fıkrasına ve 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil etmesi,
  • Facebook’un bahsi geçen üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, bu durumun Facebook’un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı ve bu kapsamdaki hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasında öngörülen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil etmesi,
  • Facebook platformu uygulamaları daha ilk aşamada “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin almaktadır. İlgili kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmaktadır. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendine belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil etmesi,
  • Açıklanan ihlalin 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceği,
  • Türkiye’de bulunan yaklaşık 300 bin kullanıcının veri ihlalinden etkilenmiş olabileceği,
  • Kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan Facebook veri ihlali, Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/ adresinde söz konusu Facebook uygulamasından kaynaklanan ihlalin “Geliştirici ekosistemimizi bir fotoğraf API’si hatası hakkında bilgilendirme” başlığıyla duyurmasının böyle bir ihlalin varlığı ve Facebook tarafından kabulü anlamına gelmesidir.

Kararda dikkat çeken bir husus ise yazılım hatasıyla bir bağı bulunmamasına rağmen Kurum’un Facebook tarafından alınan açık rızanın da hukuk ve dürüstlük kurallarına aykırı olduğunu tespit etmiş olmasıdır. Kurulun verdiği karara göre açık rıza özgür irade ile alınması gereken bir husustur. Ancak Facebook tarafından ilgili kişinin açık rızası hizmetin sunulmasının ya da hizmetten yararlandırılmasının ön şartı olarak alınmaktadır. Bu durum da kanunda açıklanan açık rıza tanımına aykırılık oluşturmaktadır.

Kurul, yukarıda bahsedilen hususları göz önünde bulundurarak somut durumun bir veri ihlali olması ve Facebook’un ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almaması sebebiyle oybirliğiyle 1.100.000 TL idari para cezasına hükmetmiştir. 

Ayrıca Kurum söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Facebook tarafından Kuruma bildirim yapılmaması ve gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edilmesi sebebiyle Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket edildiğini tespit etmiş, 550.000 TL idari para cezasına hükmetmiştir.

Söz konusu yazılım hatasının yaklaşık 6,8 milyon kullanıcıyı ve 1.500 uygulamayı etkilemiş olabileceği, bu durumun önlenmesinde yetersiz kalınması ve kullanıcılara zamanında duyuru yapılmaması sebebiyle ortaya çıkan veri ihlali ile verilen idari para cezasının orantılı olduğu söylenebilecektir.

Yaşanan bu veri ihlali sonrasında çokça kişisel verimizin yer aldığı Facebook ve benzeri platformlarda bu denli büyük yazılım hatalarının olabileceği düşünülerek paylaşılacak verilerde temkinli olunması ve özellikle şirketlerin Kişisel Verileri Koruma Kanunundan doğan yükümlülüklerini dikkatli bir şekilde yerine getirmesi gerekmektedir.

Stj. Av. Sinem İlikli

TEMMUZ 2019

Leave a comment