Kişisel Verileri Koruma Kurulu (Kurul) TikTok Pte. Ltd.’ye 1.750.000 TL idari para cezası verdi.
Kurul, Çin merkezli bir uygulama olan TikTok’un Gizlilik Politikası’nı ve Hizmet Koşulları’nı resen inceleme kararı almıştır. Bu kapsamda Kurul TikTok’un, çocuk kullanıcıların kişisel verilerini nasıl işlediği ile aydınlatma ve açık rıza alma yükümlülüğünü nasıl yerine getirdiğini denetlemiştir.
- Kararda çocukların kişisel verilerinin işlenmesine ilişkin risk temelli yapılan değerlendirmede, TikTok’un yeterince tedbir almadığı belirtilmiştir. TikTok’un Ocak 2021 yılında yaptığı güncelleme ile,
(i) 13-15 yaş aralığındaki kullanıcıların paylaştığı videolar yalnızca onların onayladığı takipçiler tarafından görüntülenebilir hale getirilmiş, ve
(ii) videoları indirebilecek ve yorum yapabilecek kişiler sınırlandırılmıştır.
Kurul bu güncellemeden önce, çocukların varsayılan olarak profillerinin herkese açık olması dolayısıyla etkileşime girdikleri diğer kullanıcılara karşı bir sınırlandırma bulunmamasının, çocukların verilerine üçüncü kişilerin erişebilmesi bakımından riskli bulmuştur.
Daha endişe verici olan ise söz konusu güncellemeden önce uygun ebeveyn izni olmadan uygulamayı kullanan 13 yaş altı çocuklar hakkında veri toplanmasıdır. Kullanıcılara yalnızca İngilizce Gizlilik Politikası sunulup, özellikle bu yaş grubundaki çocukların herhangi bir hükmü anlamamasına ve ebeveynlerinin izni olmaksızın uygulamayı kullanılmasına karşı TikTok’ta aksiyon alınmamıştır. Kaldı ki söz konusu Gizlilik Politikası’nda hangi kişisel verinin, hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında da net bilgi bulunmadığı kararda ifade edilmiştir. Oysa Kişisel Verilerin Korunması Kanunu (Kanun) 4’üncü maddesinde kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olması gerektiği belirtilmiştir.
Kurul yayınladığı özette yapılan aydınlatmanın yetersizliğine ve genel ilkelere aykırılığına değinmiştir. Çocukların kişisel verilerine ilişkin Ocak 2021 güncellemesinden önceki duruma dair değerlendirme yapılmışsa da güncellemeden sonra alınan tedbirlerin yeterliliğine ilişkin değerlendirmeye karar özetinde yer vermemiştir. Kurul her ne kadar çocukların verilerine ilişkin çevrimiçi zorbalığı ya da çocukların verilerinin kötü niyetli üçüncü kişiler tarafından kullanılmasını engelleyen tedbirlerden bahsetse de, aslında TikTok tarafından verilerin kullanılma amacına ilişkin yeterli açıklamada bulunmamaktadır. Diğer bir değişle Kurul’un karar özetinden TikTok’un gerekli tedbirleri zamanında almadığı anlaşılsa da, çocukların verilerini toplarken TikTok’un işleme amacıyla uyumlu veya orantılı faaliyette bulunup bulunmadığına ilişkin bir değerlendirmeye karardan ulaşılamamıştır.
- Gizlilik Politikası’na ilişkin yapılan incelemedeki iki temel sorun politikanın Kanun’a uygun hazırlanmaması ve açık rıza alınması gereken hususlarda açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmemesidir.
(i) TikTok hesabı oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri halinde Hizmet Koşulları (Kullanım Şartları) ile Gizlilik Politikası’nı kabul etmiş sayılacaklarını belirtmiştir. Öncelikle belirtmek isteriz ki, gizlilik politikası (Privacy Policy) ve aydınlatma metni (Privacy Notice) birbirinden farklı kavramlar olup içerikleri de örtüşmemektedir. Gizlilik politikası bir şirketin internal ve aydınlatma metnine göre daha geniş olan politikası olarak düşünülebilecekken, aydınlatma metni ilgili kişilere sunulan genellikle external bir dokümandır.
(ii) Kurul incelemesinde TikTok’ta açık rıza alınmasına ilişkin herhangi bir uygulama olmadığını belirtmiştir. Bu doğrultuda, hazırlanan Gizlilik Politikası hem aydınlatma hem de açık rıza alma yükümlülüğünü birlikte yerine getirildiği için Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (f) bendine aykırılık teşkil etmektedir. Dolayısıyla, TikTok açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartını sağlanmamıştır.
(iii) Aydınlatma metni ve açık rıza metni ayrı ayrı sunulsa dahi söz konusu aydınlatma metni ile geçerli bir açık rıza olmak mümkün değildir. Zira veri işlemeye ilişkin yapılan aydınlatmanın İngilizce olması dolayısıyla Türk kullanıcılar tarafından anlaşılması şüphelidir. konusunda belirsizlik taşıması, Ek olarak hangi kişisel verinin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında da net bilgi bulunmaması belirsizliği artırmaktadır. Bu durumda açık rızanın, ilgili kişinin bilgilendirilmesi neticesinde alınması şartı yerine getirilmiş sayılmayacaktır.
- Kurul son olarak çerezler konusunda, TikTok’un çerezler üzerinden profilleme amacıyla açık rıza almaksızın kişisel verilerin hukuka aykırı işlediğini belirtmiştir. Bu kapsamda, veri sorumluları öncelikle internet sitesinde ve mobil uygulamalarında yer alan çerez türlerini tespit etmelidir. Sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin veri sorumlusu kullanıcılardan siteye/mobil uygulamaya giriş anında çerezlerin çalışmasına “opt-in” mekanizmasına uygun şekilde rıza almalıdır1.
Kurul, TikTok’a verdiği 1.750.000 TL idari para cezasının yanı sıra TikTok’u, Kanun’a uygun Türkçe Gizlilik Politikası hazırlaması konusunda talimatlandırmıştır. TikTok hazırlayacağı aydınlatma metnine ek olarak, çocuk kullanıcılara ayrıca açık ve sade bir ifadeyle ve uygun bir formatta aydınlatma metni sunmalıdır.
Kurul kararına https://www.kvkk.gov.tr/Icerik/7538/2023-134 üzerinden ulaşabilirsiniz. Daha önce TikTok hakkında yayınladığım “TikTok Yasaklanmalı Mı?” Başlıklı yazıyı buraya tıklayarak okuyabilirsiniz.
Kapak Fotoğrafı: Loïc Venance/AFP/Getty Images (Kaynak: https://www.theguardian.com/technology/2022/jul/20/tiktoks-privacy-problem-isnt-what-you-think)
CODEƎRA 