TikTok’a çocuk verilerini rızasız kullandığı için rekor ceza
Kurumun internet sitesinde yer verilen kararda, sosyal medya platformu TikTok uygulamasıyla ilgili "açık rıza"nın 6698 sayılı Kişisel Verilerin Korunması Kanunu'na uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğu yönündeki şikayetler üzerine resen inceleme başlatıldığı bildirildi.
Kurumun internet sitesinde yer alan kararda, sosyal medya platformu olan TikTok’un uygulamasıyla ilgili olarak “açık rıza”nın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun bir şekilde alınmadığının, kişisel verilerin elde ediliş ve saklanması konusunda aykırılıkların olduğunu ve yazılıma ait birçok güvenlik açığının bulunulduğu yönünde gelen şikayetler üzerine inceleme başlatıldığı bildirildi.
AA'da yer verilen habere göre, gelen yoğun şikayetler sonucu resen soruşturma başlatıldığı belirtilirken kararda, soruşturma içerisinde TikTok’un gizlilik politikası ve hizmet koşulları detaylıca incelendiği, 2021 Ocak’ta gizlilik politikasında yapılan güncellemeyle 13 ve 15 yaş aralığındaki kullanıcıların hesapları için varsayılan gizlilik ayarının “özel” şeklinde değiştirildiği belirtildi.
Bu kapsamda yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebileceği, videoları indirebilecek ve yorum yapabilecek kişilerin kısıtlatılmasının belirtildiğin belirten kararda
Bu sayede yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebileceği, videoları indirebilecek ve yorum yapabilecek kişilerin sınırlandırıldığının belirtildiği aktarılan kararda, "Belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlandırılma bulunmamasının, hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği, 2021 yılı Ocak ayında gizlilik politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu anlaşılmıştır." İfadelerine yer verildi
"Kolay anlaşılır bir biçimde sunulmamakta"
Kararla birlikte TikTok’un gizlilik sözleşmesinde hangi kişisel bilgilerin hangi amaç doğrultusunda hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği belirterek , "Bu hususta veri sorumlusunca Kanun'un 4'üncü maddesinde yer alan 'belirli, açık ve meşru amaçlar için işlenme' ve 'işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma' ilkelerine aykırı hareket edildiği anlaşılmıştır." tespiti yer aldı.
TikTok hesabı oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri halinde "kullanım şartları" gizlilik politikasını kabul etmiş sayılacaklarının belirtildiği ancak hizmet koşulları onay metninin Türkçeye tercüme edilmediği ifade edilen kararda, "Bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesinin ihtimal dahilinde olduğu" belirtildi.
Platformda hesap oluştururken veya hesap oluşturulup aktif bir şekilde kullanılırken “açık rıza”nın alınmasına dair bir ibare ile karşılaşılmadığı, TikTok’un gizlilik politikasının aslında aydınlatma görevini yerine getirmesi için hazırlanan bir metin olduğunu ifade eden kararda,
Platformda hesap oluştururken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, TikTok'un gizlilik politikasının esasen aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış bir metin olduğu ifade edilen kararda, "Açık rıza metni yerine de kullanıldığı, dolayısıyla Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5'inci maddesinin (f) bendine göre açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetleri bakımından açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı tespit edilmiştir." denildi
"Kanuna uygun hale getirilmeli"
TikTok tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyeti kapsamında da kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı kaydedildi.
Kararda, "Kanun'un 12'nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanun'un 18'inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1 milyon 750 bin lira idari para cezası uygulanmasına, ayrıca veri sorumlusunun ilgili kişilerin doğru bilgilendirilmesi adına hizmet koşullarının bir ay içerisinde Türkçeye çevrilmesi, ilgili kişilerin doğru bilgilendirilmesi için söz konusu gizlilik politikası metinlerinin üç ay içerisinde kanuna uygun hale getirilmesi, gizlilik politikasının, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanun'un 10'uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir." İfadelerine yer verildi.