Kişisel Verileri Koruma Kurulu’nun bugün (03.10.2019) yayımlamış olduğu 18.09.2019 karar tarihli 2019/269 karar numaralı ve Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar konulu duyurusu ile Facebook Inc. hakkında 1 milyon 600 bin TL idari para cezası uygulanmasına karar verilmiştir.
Karar içeriğinde; Facebook temsilcisi tarafından Kişisel Verileri Koruma Kurulu’na gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bildirim yapıldığı belirtilmiştir.
Bildirimi takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurula herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.
Veri ihlali durumunda veri sorumlusunun en kısa sürede ilgilisine ve Kurula yapacağı bildirimle alakalı “en kısa süre” kavramının nasıl yorumlanacağına ilişkin Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulu’nun 24.01.2019 Tarih ve 2019/10 Sayılı Kararına İlişkin Duyuru bizlere yön gösterecektir. Bahsi geçen duyuruda Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine karar verilmiştir. Yani bir veri ihlali ve ya sızıntı durumunda bu hususun en geç 72 saat içinde bildirilmesi gerektiği kanaatine varmaktayız. Facebook Inc. tarafından 72 saatlik bu sınıra uyulmaması sebebiyle veri ihlali bildirimi yapılmamış sayılmıştır.
Kurul tarafından; Kişisel Verilerin Korunması Kanunu’nun 15. Maddesinin (1) numaralı fıkrasına istinaden, resen yapılan inceleme neticesinde;
Veri ihlalinden; Facebook’u Türkçe dil seçeneği ile kullanan toplamda 280.959 kişinin etkilendiği ve bu kullanıcılarının bir kısmının temel profil bilgilerinin, bir kısmının ise bunların yanında Facebook’a giriş yaptığı cihazlardan, son zamanlarda yapılan aramalara kadar bir çok kişisel ve özel nitelikteki kişisel verilerinin riske maruz kaldığı ve bu verilerin erişime yetkisiz kişilerce ele geçirilerek söz konusu kullanıcılar hakkında kanuna aykırı şekilde profilleme uygulamaları yapılabileceği belirtilmiştir.
Sonuç olarak Kişisel Verileri Koruma Kurulu tarafından;
Facebook’un bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen veri güvenliğine ilişkin alınması gereken teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca şirket hakkında 1.150.000 TL,
Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12 nci maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında en kısa süre içerisinde Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Facebook hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL
olmak üzere toplamda 1 milyon 600 bin TL idari para cezası tanzim edilmiştir. Kişisel Verileri Koruma Kurulu daha önce de Facebook hakkında 1 milyon 650 bin TL idari para cezası tanzim edilmişti.
Commenti