KİŞİSEL VERİLERİ KORUMA KURUMU'NDAN FACEBOOK'A 1.650.000 TL'LİK CEZA

2018 Yılının Aralık ayında gerçekleşen veri ihlali, daha önce, Facebook'un kendi sitesi üzerinden Mühendislik Direktörü Tomer Bar tarafından  kamuoyu ile paylaşılmıştır. Ancak söz konusu ihlal 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) m.12/f.5 hükmü uyarınca Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilmemiş ve gerekli önlemler alınmamıştır.

Bunun üzerine, Kurum tarafından gerçekleştirilen inceleme ve değerlendirme neticesinde Facebook'un kendi sitesinde yer verdiği bilgilendirmeye ek olarak;

• API hatasının 13 Eylül - 25 Eylül 2018 tarihleri arasında 12 gün boyunca gerçekleştiği, bahse konu API hatasına Facebook tarafından zamanında müdahale edilmemesinin bu konudaki teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu,
• Facebook platformu uygulamalarının daha ilk aşamada “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin almadığı,
• İlgili kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmadığı,
• Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülemeyeceği,
• Bu durumun Kanun’un m.4/f.2 (a) hükmünde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
• Türkiye'de 300 bin kullanıcının ihlalden etkilenmiş olabileceği,

sonucuna ulaşılmıştır. Bu doğrultuda Kurum tarafından oy birliğiyle;

1) Yukarıda gerekçeleriyle ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanun’un m.12/f.1 hükmü çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanun’un m.18/f.1(b) hükmü uyarınca 1.100.000 TL,

2) Söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kurum’a bildirim yapılmadığının ve 13.09.2018 - 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede Kanun’un m.12/f.5 hükmünde yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanun’un m.18/f.1(b) hükmü uyarınca 550.000 TL

idari para cezası uygulanmasına karar verilmiştir.

Kurum’un söz konusu kararının özetine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr