1 Mart 2023 tarihinde Kişisel Verileri Koruma Kurulu (“KVKK” veya “Kurul”), yeterli güvenlik önlemlerini uygulamadığı gerekçesiyle Çin menşeili sosyal medya platformu TikTok’a 1.750.000 TL idari para cezası uygulanması yönündeki kararını açıkladı.
Karardan Önceki Uluslararası Gelişmeler
(2020) Kişisel verilerin elde edilmesinde ve saklanmasında hukuka aykırılıklar olduğu, TikTok’un KVKK uyarınca açık rıza almadığı ve TikTok’un yazılımında çok sayıda güvenlik açığı bulunduğu iddialarını içeren çeşitli şikâyet ve haberler üzerine KVKK, TikTok hakkında resen inceleme başlattı.
(2020) Güney Kore İletişim Komisyonu, 14 yaşından küçük kullanıcıların kişisel verilerinin ebeveyn izni olmaksızın toplandığı gerekçesiyle TikTok’a 186 milyon Won (155 bin Dolar) idari para cezası uygulanmasına karar verdi.
(2021) Hollanda Veri Koruma Otoritesi, Temmuz 2021’de, 16 yaş altı kullanıcıların mahremiyetini ihlal ettiği gerekçesiyle Tiktok’a 750.000 Euro idari para cezası uygulanmasına karar verdi.
(2022) TikTok, ABD’de de ulusal yasalara aykırı olarak 13 yaşından küçük kullanıcıların ebeveynlerinden izin almadan çeşitli kişisel bilgilerini toplaması sebebiyle 5.7 milyon Dolar idari para cezası aldı. 15 Aralık’ta Senato’da onaylanan yasa kapsamında, ABD federal hükümet çalışanlarının devlete ait cihazlara TikTok uygulaması indirmesi yasaklandı.
(2022) Avrupa Komisyonu, AB vatandaşlarının verilerinin Çin’e aktarılması ve reşit olmayanlara yönelik reklamlarla ilgili olarak TikTok hakkında devam eden çok sayıda soruşturma olduğunu açıkladı.
(2023) Avrupa Komisyonu, Komisyon’un verilerini korumak ve siber güvenliğini artırmak amacıyla, tüm Komisyon çalışanlarından TikTok’u kurumsal cihazlarının yanı sıra kurumsal uygulamaları kullanan kişisel cihazlarından da kaldırmalarını istedi.
(2023) Kanada Federal Gizlilik Komiseri, Amerika Birleşik Devletleri ve Kanada’da sonuçlanmış olan toplu davaların yanı sıra TikTok’un kişisel bilgileri toplaması, kullanması ve ifşa etmesiyle ilgili çok sayıda medya raporunun ardından TikTok hakkında soruşturma başlattıklarını bildirdi. Kanada’da da hükümete ait cihazlara TikTok uygulaması indirilmesi yasaklandı.
KVKK’nın TikTok’a verdiği cezadaki temel sebepler nelerdi?
1 Mart tarihli KVKK TikTok Kararı’nda öne çıkan hususlar aşağıdaki şekildedir:
I. Aydınlatma Yükümlülüğü
Kullanıcılar bir TikTok hesabı oluştururken, hesap oluşturmaya devam etmeleri halinde Hizmet Koşulları ile Gizlilik Politikasını kabul etmiş sayılmaktadırlar. Ancak Hizmet Koşulları kısmında onay alınırken ilgili metin henüz Türkçe’ ye tercüme edilmediğinden, kullanıcıların kullanım şartlarını net bir şekilde anlamadan kabul etmeleri ihtimal dâhilindedir.
TikTok;
- Gizlilik Politikasında hangi kişisel verilerin hangi amaçla ve hangi yasal dayanağa dayalı olarak işlendiği konusunda net bilgi vermemiştir.
- Gizlilik Politikasını, Açık Rıza Metni yerine kullanarak açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlamamıştır.
- Gizlilik Politikası ve Hizmet Şartları metinlerini Türkçe hazırlamamıştır.
Açıklanan nedenlerle KVKK, TikTok’un aydınlatma yükümlülüğünü gereği gibi yerine getirmediğini ve “kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi” ve “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerini ihlal ettiğini belirtmiştir.
II. Çerezler
Çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır. Kişisel veri işlemenin Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanması hâlinde çerez kullanımında ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Ancak, kişilerin internetteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edilerek profillenmesi, profilleme yapılan kişinin uygun reklamlarla eşleştirilerek söz konusu reklamların ilgili kişiye gösterilmesi, özetle davranışsal reklamcılık amacıyla kullanılan çerezler açık rıza gerektirmektedir.
Bu düzenlemeye rağmen TikTok, veri sorumlusu olarak profilleme amacıyla çerezler kullanılarak gerçekleştirdiği kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza almamıştır.
III. Çocuklara Yönelik Gizlilik Önlemleri
TikTok kullanıcılarının çoğunluğu 18 yaş altındaki çocuklardan oluşmaktadır. Bu nedenle dünya genelindeki veri koruma otoriteleri, platformun çocuklara yönelik alacağı tedbirlerde daha özenli davranmasını beklemektedir.
TikTok, 2021 yılı Ocak ayında Gizlilik Politikasında bir güncelleme yaparak, 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirmiştir. Özel profil ayarı ile yalnızca kullanıcının onayladığı takipçilerin kullanıcı tarafından paylaşılan videoları görüntüleyebilecek, indirebilecek ve bu videolara yine sadece onaylanan takipçiler yorum yapabilecektir.
Ancak 2021 Ocak ayına dek profil ayarlarının varsayılan olarak herkese açık olarak belirlenmesi ile etkileşimlerde hiçbir sınırlandırılmada bulunulmamıştır. Bu durumun bir sonucu olarak da TikTok’un hassas yaş grubunda olan kullanıcıların verilerine erişilmesi konusunda yeterli tedbir almadığı görülmektedir.
Yine Gizlilik Politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin herhangi bir sınırlandırma olmadan görüntülendiği ve ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuçların doğma riskinin bulunduğu da Kurul tarafından vurgulanmıştır.
Kurul Kararı
Yukarıda sıralanan nedenlerin sonucu olarak Kurul, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığı gerekçesiyle TikTok’a 1.750.000 TL idari para cezası uygulanmasına karar vermiştir.
Kurul ayrıca TikTok’a aşağıdaki talimatları vermiştir:
– Hizmet Koşullarının bir ay içinde Türkçeye çevrilmesi,
– Gizlilik Politikası ve ilgili metinlerinin üç ay içinde Kanun ile uyumlu hale getirilmesi,
– Aydınlatma yükümlülüğünün ilgili mevzuat çerçevesinde yerine getirilmesi.
Sonuç
KVKK, TikTok kararı ile çocukların kişisel verilerinin işlenmesine yönelik uygulamalara ilişkin daha katı bir yaklaşım benimsediğini vurgulamıştır. Her ne kadar güncel mevzuatta 16 yaş altındaki çocuklara bilgi toplumu hizmetlerinin sunulmasına yönelik özel bir düzenleme yer almasa da, TikTok kararında 13 ve 15 yaş aralığındaki kullanıcıların kişisel verilerinin özel bir sınırlandırma olmadan işlenmemesi gerektiğine dikkat çekildiğinden, önümüzdeki dönemlerde GDPR’ın 8. maddesine benzer bir düzenlemenin söz konusu olabileceğini düşünmekteyiz.
Ek olarak, aydınlatmanın Kurul’un önceki kararlarında ve yayınladığı rehberlerde belirttiği gibi anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesini sağlamak amacıyla metinlerde Türkçe dilinin kullanılmasının tercih edildiği anlaşılmaktadır.
11. Kalkınma Planı’nın hedefleri arasında yer alan GDPR’a uyumluluk kapsamında Kişisel Verilerin Korunması Mevzuatında yapılması beklenen değişiklikler içerisinde, TikTok kararında altı çizilen hassas yaş grubunda bulunan kişilerin kişisel verilerinin işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmesinde yapılacak bildirimin şekli gereklilikleri konularına da değinilmesi beklenmektedir.
Av. Didem Kalaycıoğlu Birol
Stj. Av. İrem Naz Yıldız
İlgili linkler:
- https://www.webtekno.com/kisisel-verileri-koruma-kurulu-tiktok-inceleme-h96072.html
- https://teknosafari.net/tiktok-cocuk-verilerini-yanlis-yonettigi-gerekcesiyle-guney-korede-para-cezasi-aldi/
- https://autoriteitpersoonsgegevens.nl/en/news/tiktok-fined-violating-children%E2%80%99s-privacy
- https://www.ntv.com.tr/teknoloji/abdde-tiktok-yasagi-genisliyor-senatodan-karar-cikti,rWK2xHwj1UmZOsLGfdPZMw
- https://www.euronews.com/my-europe/2023/01/10/tiktok-battles-privacy-concerns-and-espionage-fears-in-europe
- https://www.bbc.com/turkce/articles/c84pvy2gr3zo
- https://www.bloomberght.com/avrupa-parlamentosu-da-calisanlarina-tiktok-u-yasakladi-2326139
- https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf
- https://gdpr.eu/article-8-childs-consent/
