Kişisel Verileri Koruma Kurulu, gerekli tedbirleri almayarak veri güvenliği ihlaline sebep olduğu ve ihlal bildirim yükümlülüğüne aykırı hareket ettiği gerekçesiyle Facebook’a toplamda 1.650.000 TL idari para cezası verdi. Kurul tarafından verilen bu karar; içeriği ve miktarı bakımından birçok önemli unsur içermekle birlikte esas itibariyle daha önceki kararlardaki tespitleri vurgulayan bir niteliğe sahiptir.
İlk dikkat çeken hususlardan bir tanesi Kurul tarafından bugüne kadar yayımlanan kararlarda ilk defa ceza uygulanan şirketin ismi ve ceza miktarına yer verilmiş olmasıdır. Ayrıca uygulanan cezanın da bugüne kadar verilen en yüksek ceza olduğu düşünülmektedir.
Karar, Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde bilgilendirme amaçlı paylaşılan bir blog yazısını ele almaktadır. Bu yazıda “Fotoğraf API (application programming interface)” olarak adlandırılan ve kamuoyuna yansıyan bir veri güvenliği ihlali hakkında duyuru ve açıklamalara yer verilmiştir. İhlalin temel olarak Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatasından kaynaklandığı belirtilmiştir. Normal şartlarda, bir Facebook kullanıcısı tarafından üçüncü taraf bir uygulamaya, fotoğraflara erişim izni verildiği takdirde; uygulama sadece kullanıcının zaman çizelgesinde paylaştığı fotoğraflara erişebilmektedir. Ancak açıklanan hata sebebiyle uygulamalar; kullanıcıların Marketplace veya Facebook Stories’de paylaşılan diğer fotoğraflarına da erişim sağlayabilmiştir. Ayrıca Facebook kullanıcılarının Facebook’a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflar da bu sorundan etkilenmiştir. Söz konusu hata yalnızca 13 Eylül – 25 Eylül 2018 tarihleri arasında ortaya çıkmıştır.
Yazıda duyurulan hata, kişisel veri güvenliği ihlali oluşturmasına rağmen Kurul’a bildirilmemiştir. Bunun üzerine Kurul tarafından re’sen inceleme yapma kararı alınmıştır. Yapılan inceleme neticesinde, bahse konu API hatasının potansiyel bir yazılım bozukluğu olduğu ve Facebook’un bu konuda yeterli teknik ve idari tedbirleri almadığı tespit edilmiştir. Nitekim bu eksiklik sebebiyle üçüncü taraf uygulamaların, kullanıcıların genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda fotoğrafa erişim sağladığı ifade edilmiştir. Bu sebeple söz konusu ihlalin Kanunun 12. maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere ve 4. maddesinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği tespit edilmiştir.
Ayrıca Facebook’un bahsi geçen üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, Facebook’un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı belirtilmiştir. Bu durumun ise Kanun’un 12. maddesindeki veri güvenliğine ilişkin yükümlülüklere aykırı olduğu tespit edilmiştir.
Kararda dikkat çeken bir diğer husus, Facebook’un açık rıza uygulamasına ilişkin yapılan değerlendirmedir. Facebook platformu uygulamalarının daha ilk aşamada kullanıcılardan “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesiyle izin aldığı belirtilmiştir. Böylece Facebook, ilgili kişilerin uygulamada paylaşmaya izin verdiği kişisel veriler konusunda takdir yetkisi tanımayarak ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmaktadır. Ancak Kurul tarafından yapılan değerlendirmede bu durumun; kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşılması sonucuna yol açtığı ifade edilmiştir. Bu noktada Kurul; açık rızanın özgür irade ile açıklanması gerekliliğine vurgu yaparak, ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olmaması gerektiğini belirtmiştir. Facebook uygulamasının bu duruma aykırılık teşkil ettiğini tespit ederek, Kanun’un 4. maddesinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesinin ihlal edildiğine karar vermiştir.
Kararda açıklanan ihlalin toplamda 6,8 milyon kullanıcı ile 876 geliştirici tarafından oluşturulan 1.500 uygulamayı ve Türkiye’de bulunan yaklaşık 300 bin kullanıcıyı etkilemiş olabileceği ifade edilmiştir. Ayrıca paylaşılan bilgilendirme yazısının böyle bir ihlalin Facebook tarafından kabulü anlamına geldiğini belirtmiştir.
Bu sebeple öncelikle gerekçeleriyle ortaya konulan hatanın bir veri ihlali olduğu ve ihlalin oluşmaması için Kanun’un 12. maddesinin birinci fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında oybirliğiyle 1.100.000 TL ceza uygulanmasına karar verilmiştir.
İkinci olarak, veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığı ve 13.09.2018 – 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığı belirtilerek, bu çerçevede Kanun’un 12. maddesinin beşinci fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Facebook hakkında ayrıca 550.000 TL ceza uygulanmasına oy birliğiyle karar verilmiştir.
Böylece Kurul tarafından toplamda 1.650.000 TL idari para cezası uygulanmıştır. Kararda her ne kadar ceza miktarının nasıl belirlendiğine ilişkin ayrıntılı bir değerlendirme yer almasa da, Kurul tarafından ciddi bir yaptırımın uygulandığı söylenebilecektir.
Kurul yukarıdaki değerlendirmelerinde esasen daha önce verdiği kararlardaki hususları bir kez daha vurgulamıştır. Nitekim daha önce yayımlanan 26.07.2018 tarih ve 2018/91 sayılı karar özetinde, bir hazır giyim firmasının internet sitesindeki güvenlik açığı sebebiyle veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğünü yerine getirmediğine karar vermiştir. Ayrıca daha önce yayımladığı başka bir karar özetinde, hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağına dair tespitini bu kararda da vurgulamıştır. Facebook’un oyun uygulamasına ilişkin aldığı rızanın, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı niteliğinde olduğuna ve bu sebeple hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık taşıdığına karar vermiştir. Son olarak, veri ihlal bildiriminin yapılmaması sebebiyle de Facebook’a ceza verilmiş ve bu husus Kurul’un daha önce yayımladığı veri güvenliği ihlalinin geç bildirimi sebebiyle veri sorumlusuna idari yaptırım uygulanan kararla da paralellik taşımaktadır.
Sonuç olarak, Kurul tarafından kararda vurgulanan hususlar kişisel verilerin korunması politikalarının çok yönlü olarak uygulanması gerektiğini bir kez daha göstermektedir. Cezaya dayanak oluşturan unsurlar, teknik bir hatanın yanı sıra açık rıza sisteminin yanlış kurgulanması ve ihlal bildirim yükümlülüğüne uygun hareket edilmemesi gibi eksikliklerin de mevcut olduğunu göstermektedir. Bu sebeple, kanuni gerekliliklerin veri sorumluları tarafından her aşamada çok yönlü olarak göz önünde bulundurulması gerekmektedir.