Kişisel Verileri Koruma Kurulu, 11.04.2019’da Facebook için veri ihlali sebebiyle toplamda 1.650.000 TL idari para cezası uygulanmasına karar verdi. Karar ise 12.05.2019’da Kurum’un websitesi üzerinden yayımlandı. Bu, her halükarda “Pandora’nın Kutusu”nu açacak bir karar ve tutar.
Olay Facebook’un fotoğraf API’nda gerçekleşen bir sorunla başlıyor. Bu sorunla birlikte 12 gün boyunca kullanıcıların fotoğrafları 3. parti uygulamalar tarafından erişime açık hale geliyor. Hatta henüz daha paylaşmadıkları taslaklarda duran fotoğraf fotoğraflar da etkileniyor. Bu kusurun Facebook API’ını kullanmak için izin alan ve kişilerin fotoğraflarına erişebilen uygulamaları etkilediği, dolayısıyla 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceği düşünülüyor.
Kurul ise kararda Türkiye’de 300.000 kişinin bu ihlalden etkilenebileceğini ifade etmiş. 12 gün boyunca Facebook’un bu yazılım hatasını düzeltmemesini teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğunun altını çizmiş. Marketplace ve Stories uygulamalarındaki erişimi ve taslak fotoğraflara erişim sağlanmasının “hukuk ve dürüstlük kurallarına” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiğini tespit etmiş.
İhlalin gerçekleşmesi ve gerekli idari ve teknik tedbirleri alamaması sebebiyle 1.100.000 Türk Lirası, en kısa zamanda bildirimi yapma yükümlülüğünü yerine getirmemesi sebebiyle 550.000 Türk Lirası idari para cezası uygulanmış.
Kararda enteresan bulduğum birkaç detay var. İlki ceza ile bağlantılı olmasa da incelemişken hadi bunu da söyleyelim dedikleri “açık rızanın hizmet şartına bağlanması” durumu. Oyunlara kayıt için kişisel verilerin paylaşılmasını zorunlu tutan düzenin altı çizilmiş.
Bir diğeri, bir Facebook geliştiricisinin paylaştığı blog yazısının Facebook’un ikrarı kabul edilerek Kurul’un re’sen harekete geçmesi.
Son dikkat çekilecek nokta ise üst sınırı 1.200.000 Türk Lirası olan maddeden 1.100.000 Türk Lirası ceza kesilmesi. Enflasyonla birlikte artan üst sınıra bu kadar yakın bir yaptırım uygulanması Kurul’un “elini korkak alıştırmayacağı” şeklinde yorumlanabilir.
Kurul’u en çok eleştirdiğimiz konu kestikleri cezayı gereken detayda açıklamamaları ve yaptırım uyguladığı tüzel kişilerin bilgilerini paylaşmamalarıydı. Umarım bu, yalnızca Facebook özelinde bir gözdağı değildir. Bundan sonraki kararlarda da benzer bir açıklık gösterirler.
Karar özetine buradan ulaşabilirsiniz.