Kişisel Verileri Koruma Kurumu (“Kurum”) Kişisel Verileri Koruma Kurulu’nun (“Kurul”) TikTok Pte. Ltd. (“TikTok”) hakkında verdiği 2023/134 sayılı Kararının özetini (“Karar”) 01.03.2023 tarihinde internet sitesinde yayımladı.
Karar’da, internet ve sosyal medya platformlarında, TikTok uygulaması ile ilgili olarak kişilerin kişisel verilerinin işlenmesi konusunda bilgilendirilerek özgür iradeleriyle vermeleri gereken açık rızaların, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında usulüne uygun olarak alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve platformun yazılımına ait birçok güvenlik açığı olduğu yönündeki haber ve şikayetler neticesinde, Kurul’un TikTok aleyhine resen inceleme başlattığı açıklanmıştır.
Kurul tarafından ilk olarak, TikTok’un 2021 yılı Ocak ayında yaptığı güncelleme ile değişen “Gizlilik Politikası”nın öncesinde varsayılan ayarda profillerin herkese açık olarak görüntülenebildiği, etkileşimde sınırlandırma bulunmadığı, bu durumun da hassas yaş (13-15 yaş) grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği belirlenmiştir.
Kurul, TikTok’un internet sitesinde yer alan, esasen aydınlatma yükümlülüğünü yerine getirmek ve açık rıza metni yerine de geçmek üzere kullanıldığı anlaşılan “Gizlilik Politikası” metninde Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarının tümünün belirtildiği ve fakat bu kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği; bu nedenle veri sorumlusunca Kanun’un md.4 hükmünde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği tespit edilmiştir.
Kurul’un bir diğer tespiti ise, platformda kullanıcılar hesap oluşturmak istediklerinde “Hizmet Koşulları” ile “Gizlilik Politikası”nı kabul etmiş sayılacaklarının belirtildiği, ancak “Hizmet Koşulları” kısmında bu onay alınırken ilgili metin Türkçe’ye tercüme edilmemiş olduğundan kullanıcıların platformun kullanım şartları hususunda net ve anlaşılır bir bilgi sahibi olmadan bu şartları kabul etmesinin ihtimal dahilinde olduğu yönündedir.
Kurul ayrıca, TikTok uygulamasında hesap oluştururken ya da platform aktif olarak kullanılırken herhangi bir noktada açık rıza alınmadığını tespit etmiştir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (“Tebliğ”) md.5/f hükmüne göre, açık rızanın alınması işleminin aydınlatma yükümlülüğünün yerine getirilmesi işleminden ayrı olarak yerine getirilmesi gerektiğinden, TikTok tarafından açık rıza alınması unsurunun “Gizlilik Politikası” ile sağlanmasının bu hükme aykırı olduğu ifade edilmiştir.
Kurul tarafından tespit edilen bir başka veri ihlali ise, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgililerinden açık rıza alınmaması olmuştur.
Sonuçta, TikTok’un, Kanun’un md.12/1 hükmü uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilmiştir. Bu sebeple veri sorumlusu TikTok hakkında, Kanun’un md.18/1-b hükmü uyarınca, 1.750.000 lira idari para cezası uygulanmasına karar verilmiştir.
Para cezasının yanında Kurul tarafından TikTok’a “Hizmet Koşulları”nın bir ay içerisinde Türkçe’ye çevrilmesi, “Gizlilik Politikası” metinlerinin üç ay içerisinde Kanun’a uygun hale getirilmesi ile Kanun ve Tebliğ hükümlerine uygun bir aydınlatma yapılması hususlarında talimat verilmiştir.
İşbu bilgi notundaki değerlendirmeler herhangi bir hukuki kanaat niteliğinde değildir. Bu değerlendirmelerden ötürü Astra Hukuk Bürosu’na herhangi bir sorumluluk atfedilemez. Bilgi notunun konusu hakkında detaylı bilgi ve profesyonel destek almak için ekibimizle iletişime geçilmesini tavsiye ederiz.