KVKK Facebook Türkiye kararı ile gündemi etkiledi. Kurul, 11/04/2019 tarih 2019/104 sayılı kararı ile Facebook’a ceza verildiğini duyurdu. Kararda Facebook tarafından veri ihlali gerçekleştirildiği belirtildi. İhlal nedeniyle toplamda 1.650.00 TL idari para cezasına hükmedildiği açıklandı. Bu makalemizde ilgili kararı inceleyeceğiz. Ayrıca bu ihlalden etkilenenlerin ne gibi haklara sahip olabileceklerine değineceğiz.
Veri İhlali Nasıl Meydana Geldi?
Kurumun [1] ve Facebook’un duyuru sayfasında[2] açıklandığına göre sistem açığı Facebook’un Fotoğraf API servisinden ortaya çıkmış. Fotoğraf API servisi (Uygulama Programlama Arayüzü) anlamına geliyor. Veri ihlali duyuruları incelendiğinde veri ihlal boyutunun oldukça büyük olduğu ortaya çıkıyor.
Söz konusu ihlale sebep açık, üçüncü parti uygulama geliştiricileri tarafından kullanılan Fotoğraf API’sinde gerçekleşiyor. Bu API’yi kullanan üçüncü parti uygulamalara Facebook kullanıcıları erişim izini verdiğinde gereğinden fazla fotoğrafa erişme imkanı sağlanıyor. Ayrıca Marketplace veya Facebook Stories’te bile paylaşılan fotoğraflara ulaşılabiliniyor. Hatta kullanıcıların henüz yayınlamadıkları yani taslak olarak kaydetmiş olduğu fotoğraflara bile erişilebiliyor. Anlaşıldığı üzere bu açık oldukça ciddi. Yapılan duyuruda bu açığın 12 gün boyunca mevcut olduğu belirtilmiş. İçin can alıcı noktası ise bu açığın 6.8 milyon kullanıcıyı etkilediği belirtilmiş. Ayrıca 876 geliştirici tarafından oluşturulan 1.500 uygulamayı da etkilemiş. Türkiye’de ise yaklaşık 300 bin kullanıcının bu veri ihlalinden etkilenmiş olabileceği duyurulmuştur.
Kurul kararında re’sen inceleme yapma yetkisiyle ilgili önemli bir noktaya değiniyor. Meydana gelen bu açık, Facebook Mühendislik Direktörü Tomer Bar tarafından yayınlanan yazı üzerine öğrenilmiş. Yani Kurum’a bir şikayet veya bildirim olmamasına rağmen Kurul inceleme yapmıştır. Bunun sebebi olarak ihlalin zamanında bildirilmemesi gösterilmiş. Kurul, yaptığı araştırma sonucu meydana gelen bu ihlalin veri gizliliğine/mahremiyetine aykırı bir durum olduğu sonucuna varmıştır.
KVKK Facebook Türkiye’ye Ne kadar ceza verdi ?
Bu hususlar kapsamında yaptığı değerlendirme ile Kurul;
- Facebook Türkiye’nin KVKK m.12/5’de yer alan en kısa sürede kuruma bildirim yükümlülüğünü ihlalden 550.000 TL,
- Veri sorumlusu olarak KVKK m.12/1’de yer alan uygun güvenlik düzeyini temin etmeyi ihlalden ötürü 1.100.000 TL
olmak üzere toplam 1.2 milyon TL idari para cezası uygulanmasına karar vermiştir.
[konuuyari] Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrası: “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” [/konuuyari]
İkinci ceza ise KVKK m.12/1 kapsamında veri ihlali sebebiyledir. Kurul Facebook’un, ilgili madde yer alan gerekli teknik ve idari tedbirleri almadığı kanaatindedir.
[konuuyari] “KVKK MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. …” [/konuuyari]
Facebook’un bu API açığı sebebiyle insanların kişisel veri güvenliği ihlal edildi. Sizin de üçüncü parti uygulamalara verdiğiniz izinden fazla fotoğrafınız bu ihlal kapsamında olabilir. Bu sebeplerle özel hayatınızın gizliliğinizin ihlali gerçekleşmiş olabilir. Kurul tarafından verilen kararda vurgulanan kısım ihlalin 12 gün farkedilmeden devam etmesidir. Kurulda bu 12 günlük süreçte Facebook’un bu ihlal karşısında gereken önlemleri almamış olduğu yönünde kanaat oluşmuştur. Türkiye’den yaklaşık 300bin kişinin bu ihlalden etkilenmiş olduğu düşünülmektedir. Facebook’un ihlali öğrenir öğrenmez kuruma bildirim yapma yükümlülüğü mevcuttu ancak zamanında kuruma bir başvuru yapılmamıştır.
Facebook’a verilen bu karar aslına bakıldığında bir nevi Türkiye’de faaliyet gösteren yerli-yabancı diğer şirketlere de bir nevi uyarı niteliğinde olduğunu düşünülmektedir. Verilen cezanın kanunda belirlenen üst sınıra yakın bir noktadan verilmesi, ilk kez yaptırım uygulanan tüzel kişi bilgilerinin paylaşılması Kişisel Verileri Koruma Kurumu’nun gelecekteki idari para cezalarında “cesur” davranacağının sinyallerini veriyor. Kişisel Verilerin Korunması Kurulu tarafından verilen bu karar sayesinde Nisan 2016’da yürürlüğe giren Kişisel Verileri Koruma Kanunu’nun toplum nezdinde farkındalığının artırılması ile veri sorumlusu olan Türkiye’de faaliyet gösteren yerli yabancı şirketler tarafından kanuna uyum çalışmalarının tamamlanması ve tüm hukuki, idari ve teknik tedbirlerin alınması konusunda önemli ve uyarıcı bir sonuç doğurduğu kanaatindeyim.
Son olarak Facebook’un Türkiye’de tüzel kişiliği bulunmadığından ötürü ilgili cezanın ödenmeyeceği yönündeki görüşlere de katılmamaktayım. Amme Alacaklarının Tahsil Usulü Hakkında Kanun kapsamında bu cezanın usulünce ödememesi halinde Türkiye’deki malvarlığının haczedilmesi veya üçüncü kişilerin Facebook’a olan borçlarına el konulması gibi çeşitli yöntemlerle para cezasının tahsili mümkün olacaktır. Ayrıca Nisan 2019 itibariyle Türkiye’de reklamları vergilendirilen Facebook’un usulünce bu cezayı ödememesi durumunda her halükarda tahsil edilebileceği görüşündeyim.
Facebook veri ihlalinden etkilenen kişiler hangi hukuki yollara başvurabilir?
Yukarıda da belirttiğimiz üzere bu ihlalden Türkiye’de 300bin kişinin etkilenmiş olabileceği belirtiliyor. KVKK Facebook Türkiye kararında ihlalden etkilenenlere bildirim yapılmadığı özellikle vurgulanmış. Facebook tarafından ihlalden etkilenen kişilere bildirim yapılacağı açıklanmış durumda. Veri ihlalinden etkilenen kişilerin hangi hukuki yollara başvurabileceği konusu Kişisel Verilerin Korunması Kanunu’nda 14’üncü maddenin (3) numaralı fıkrasında “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” Şeklinde düzenlenmiştir. Burada tek sorun Facebook’un Türkiye’de tüzel kişiliğinin bulunmaması durumudur. Facebook Türkiye’deki faaliyetlerini Facebook Ireland Ltd. üzerinden Türkiye’de yerleşik olmayan bir kurum olarak yürütüyor. Facebook’un Türkiye sınırları içerisinde herhangi bir tüzel kişiliği bulunmaması sebebiyle tazminat taleplerinin sonuçlandırılması ise hayli güç olacak. Ancak Facebook’un yakın zamanda ülkemizde temsilcilik alacağı duyumlar arasında olduğundan ihlal durumunda hangi hukuki yollara başvurulabileceğini bilgisini paylaşmakta bir engel bulunmamakta.
Öncelikle ülkemiz hukukunda başta Anayasa’nın 20. maddesi ve 4721 sayılı Türk Medeni Kanunu’nun Madde 23 ve devamı hükümleri olmak üzere çeşitli kanunlarda kişilik hakkı ve özel hayatın gizliliği pozitif hukuk kuralları ile koruma altına alınmıştır. Anayasa’nın 20.maddesinin ilk fıkrasında “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” Hükmü yer almaktadır. Tüm bu hükümler kapsamında özel hayatın gizliliği kişilik hakları kapsamında korunmakta olup, ihlali durumunda ilgili kişi tarafından Medeni Kanun madde 23 vd. hükümleri uyarınca kişilik hakkına saldırının önlenmesi, sonlandırılması veya tespiti davası açılabilir. Ayrıca bu ihlal sonucu kişi, uğradığı maddi ve manevi zararına yönelik tazminat davası açabilir. KVKK Facebook Türkiye kararı da bu davada önemli bir delil olacaktır.
[konulink2 link=”https://www.uskudar.av.tr/bilisim-sistemleri-araciligiyla-ozel-hayatin-gizliliginin-ihlal-edilmesi/” linkbaslik=”Bilişim Sistemleri ile Özel Hayatın Gizliliğinin İhlali“]Aşağıdaki linkten bu konuyla alakalı olarak Bilişim Sistemleri ile Özel Hayatın Gizliliğinin İhlali yazımıza ulaşabilirsiniz.[/konulink2]
Dava açılmadan önce KVKK Madde 11 kapsamında veri sorumlusu olan Facebook’a başvuru yapılarak ilgili veri ihlali kapsamında başvuran kişinin verilerinin ihlal edilip edilmediği, edildiyse ilgili bilgiler talep edilip dava için ön hazırlık yapılabilecektir. Ayrıca kişi bu başvuru ile Facebook’un hakkında sakladığı verilerin silinmesini talep edebilir, önceden vermiş olduğu kişisel verilerin işlenmesi rızasından vazgeçebilir.
Son olarak her ne kadar Facebook için Türkiye’de tüzel kişiliği olmamasından ötürü ülkemiz yasalarının uygulanabilirliği konusunda soru işaretleri olduğu belirtilmekteyse de Facebook, TrustARC isimli güvenlik şirketinden gizlilik yönetimi süreçlerini güncellemelerine yardımcı olmak için hizmet almakta böylelikle faaliyet gösterdikleri devlet yasalarına uymalarına yardımcı olmaktadır. Bu sebeple ülkemizde veri işleyişine ilişkin olarak kullanıcıları bilgilendirmek üzere https://www.facebook.com/about/privacy sayfasından Facebook’un hakkınızda toplamış olduğu tüm kişisel verilere ulaşabilir veya nasıl silinebileceği hakkında bilgi sahibi olabilirsiniz. Ayrıca https://www.facebook.com/help/contact/861937627253138 adresinden yazının devamında bahsettiğim veri sorumlusu şirkete başvuru sırasında talep edebileceğiniz tüm bilgileri alabilir veya silinmesini talep edebilirsiniz. Ayrıca Facebook’un gizlilik ilkelerine veya uygulamalarına ilişkin anlaşmazlıklarınızı https://feedback-form.truste.com/watchdog/request adresinden TrustArc kanalıyla da çözümleyebilirsiniz.
Sadece Facebook olarak değerlendirmeden KVKK kapsamında Türkiye’de faaliyet gösteren ve kişisel bilgilerinizin işlenmiş olduğu şirketlerden verilerin silinmesini nasıl talep edebilirsiniz?
Öncelikle veri sorumlusu şirkete KVKK Madde 11 ve 13 kapsamında bir yazılı başvurunun yapılması gerekmektedir. Bu başvuru ile aşağıdaki bilgilere erişim talebinde bulunabilirsiniz.
- Şirket tarafından kişisel verilerinizin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Bu taleplerden biri veya birkaçını içeren talebinizle birlikte ilgili veri sorumlusuna başvurabilirsiniz. Başvurunun veri sorumlusu olan şirkete ulaşmasından en geç otuz gün içinde ücretsiz olarak başvuruya yanıt verme zorunluluğu bulunmaktadır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi durumunda ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün veya cevap gelmemişse başvuru tarihinden itibaren en geç altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikayette bulunabilir. Şikâyet üzerine veya kurul tarafından kendiliğinden yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere kararı gönderir. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir. Getirilmediğinde kurul tarafından idari para cezası ile cezalandırılmaktadırlar. Ayrıca veri sorumlusu tarafından bu karar yerine getirilmediğinde başvurucunun kişilik haklarına bir saldırı da gerçekleşmiş olacağından Facebook ile ilgili anlattığımız tazminat hakkı geçerli olacaktır.
Başvuru yapılan şirketin Türkiye sınırları içerisinde tüzel kişiliğinin bulunması halinde doğrudan tazminat davası açma yoluna başvurulabilecektir. Kişi tarafından kurula yapılan şikayet kurul tarafından incelenip reddedilir veya altmış gün içinde yanıt gelmezse reddedilmiş sayılır ve kurulun bu kararına karşı İdare Mahkemelerinde iptal davası açılabilecektir.
[1] https://www.kvkk.gov.tr/Icerik/5450/2019-104
[2] https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/
*Bu yazının bir kısmı Webtekno’da https://www.webtekno.com/facebook-a-nasil-tazminat-davasi-acilir-h70169.html adresinde yayınlanmıştır.
