KİŞİSEL VERİLERİN KORUNMASI KURULU’NUN TİKTOK KARARI IŞIĞINDA: Aydınlatma Yükümlülüğü, Açık Rıza ve ilk kez “Çocuğun Rızası”

Kişisel Verilerin Korunması Kurulu (“Kurul”) geçmişte yüksek idari para cezaları da içeren Facebook, WhatsApp ve Google kararları ile sosyal medya platformlarını yakın takibe aldığını ortaya koymuştu. Kurul 1 Mart 2023 tarihinde yayımlanan 2023/134 sayılı kararı (“Karar”) ile, medyada yer alan haberler ve kendisine gelen şikayetler doğrultusunda resen harekete geçerek TikTok Pte. Ltd.’iyi (“TikTok”) de hakkında karar verilen sosyal medya platformları listesine eklemiştir.

Öncelikle söz konusu Karar, 3 Eylül 2021 tarihli ve 1.950.000- Türk lirası idari para cezası içeren WhatsApp kararı ve 11 Nisan 2019 tarihli 1.600.000-Türk lirası idari para cezası içeren Facebook kararı ile yeniden değerleme oranları göz önüne alınarak kıyaslandığında, üst sınırdan uzaklaşıldığını ve nispeten daha hafif bir yaptırım uygulandığını söylemek mümkündür.

Kurul, inceleme başlatmasına özellikle, (i) TikTok tarafından “açık rıza” konusunun dikkate alınmaması, (ii) TikTok ile paylaşılan içeriklerdeki kişisel verilerin elde edilip saklanması konusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında önemli derecede görülen hukuka aykırılıkların bulunması, (iii) TikTok’u oluşturan yazılım sistemleri bazında ciddi güvenlik açıklarının olmasını sebep olarak göstermişti. Nitekim yapılan incelemeler sonucunda, Karar ile Kurul, TikTok aleyhine 1.750.000- Türk lirası idari para cezası vermesinin yanı sıra, Karar içeriğinde TikTok’un kişisel verilerin korunması hususunda talimatlandırma kararı olarak da bilinen, veri sorumlusu açısından yerine getirilmesi zorunlu nitelikteki bazı uygulama değişiklikleri yapılmasını talep etmiştir.

Yapılan incelemede özellikle TikTok’un internet sitesinde de yayımlanan “Gizlilik Politikası” ve “Hizmet Koşulları (Kullanım Şartları)” ele alınmış ve inceleme sonucunda verilen Karar’da aşağıda belirtilen hususların altı çizilerek, TikTok’un işbu uygulamaları esasen kişisel verilerin korunması yönünde birer handikap olarak görülmüştür. Kurul bu kapsamda;

1. TikTok’un Ocak 2021 tarihinde gizlilik politikasında yapmış olduğu değişiklik (“Güncelleme”) ile 13 ile 15 yaş aralığındaki üye kullanıcılar için varsayılan gizlilik ayarının “özel” olarak (yalnızca TikTok kullanıcısının onay verdiği takipçilerin, kendisi tarafından paylaşılan videoları görebileceği şekilde) değiştirildiği tespit edilmiştir. Ne var ki Güncelleme öncesinde, (i) hassas olarak kabul gören ilgili yaş grubunda bulunan kişilere ait profillerin “herkese açık” olduğunu, (ii) etkileşimde bir sınırın bulunmadığını ve bu durumun, söz konusu yaş grubunu oluşturan üye kullanıcılar açısından çocukların kişisel verilerine ulaşılması noktasında önemli riskler barındırdığını ve kişisel veriler anlamında risk oluşturan bu hususa ilişkin TikTok tarafından yeterli tedbir alınmadığını;
2. Güncelleme öncesinde TikTok kullanmakta olan 13 yaş altındaki çocukların da kişisel bilgilerinin görüntülenebildiğini, çocukların üyeliği ve içerik paylaşımı noktasında ebeveyn izninin olmaması tespitini de ekleyerek TikTok’u kullanmış ve kullanmakta olan çocuklar üzerinde riskli ve olumsuz sonuç doğma riskinin bulunduğunu;
3. Güncelleme sonrasındaki durumda ise, TikTok’un gizlilik sözleşmesinde KVKK’de yer alan işleme şartlarının tamamının belirtildiği, ancak hangi kişisel verinin hangi amaçla ve hangi işleme şartına dayalı olarak işlendiğiyle ilgili hiçbir ilişkilendirme yapılmadığını; bu nedenle de TikTok’un kişisel verilerin korunması mevzuatında öngörülen “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun davranmadığını;
4. TikTok’ta yer alan ve kullanıcıların hesaplarını aktif şekilde kullanabilmeleri için otomatik bir şekilde kabul etmiş sayılacağı gizlilik sözleşmesinin içeriğinin henüz Türkçe’ye çevrilmediğinden bahisle; kişisel verileri etkin bir şekilde korumayı amaçlayan içeriğin kullanıcılara kolay ve anlaşılabilir bir şekilde sunulmadığını;
5. TikTok üyeliği yapılırken, kullanıcılar tarafından hesap oluşturulup hesabın aktive edilmesi için TikTok’un sadece gizlilik politikası şartı getirdiğini; ancak gizlilik politikası ile birlikte açık rızanın alınmasına ilişkin bir uygulamanın yer almadığını, oluşturulan gizlilik politikasının ise yalnızca aydınlatma yükümlülüğünü ihlal etmemek amacıyla düzenlenmekle sınırlı kaldığını tespit etmiş, bu nedenle açık rıza süreçlerinin aydınlatma yükümlülüğünden ayrı düzenlenecek çözümlerle ele alınması gerektiğini ve
6. TikTok’un, profilleme (kullanıcılara ilgi alanları doğrultusunda reklam göstermeyi amaçlayan veri işleme yöntemi) amacıyla çerezler kullanarak işlediği kişisel verilere ilişkin açık rıza almadığını ve bu nedenle hukuka aykırı işleme faaliyetinde bulunduğunu

ifade etmiştir.

Buna ilaveten, TikTok nezdinde gerçekleşen ihlale yönelik etkili çözümlerin TikTok tarafından yerine getirilmesine ilişkin aşağıdaki konularda da talimatlandırma kararı tesis edilmiştir:

1. Tiktok üyeliği için kabulü gerekli olan hizmet koşullarının 1 ay içerisinde Türkçe’ye çevrilmesi;
2. TikTok içerisinde yer alan gizlilik politikasını düzenleyen metinlerin 3 ay içerisinde kanuna uygun hale getirilmesi ile
3. TikTok’un halihazırdaki gizlilik politikasının kişisel verilerin korunması mevzuatı uyarınca aydınlatma yükümlülüğünü yerine getirmekte yetersiz kalması dolayısıyla, mevzuatın tüm gerekliliklerini yerine getiren bir aydınlatma süreci kurgulanması.

Karar, profesyonel uygulayıcılar tarafından uzun zamandır dile getirilen aydınlatma yükümlülüğü, açık rıza, gizlilik politikası, çerez politikasının önemi gibi pek çok hususun kısa bir hatırlatması olmasının yanı sıra; ebeveyn izni, çocuk verisi ve 13 ve 15 yaş arasındaki yaş grubunun “hassas” olarak kabul etmesi ile açısından da önemli ilkleri tartışmaya açmıştır.

Bir kez daha Kurul, ulusal mevzuatımızda olmamasına rağmen 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında kabul gören yaygın uygulamaları dikkate aldığını ortaya koyarak “çocuğun rızası” kavramını ulusal düzeyde sorgulamıştır.

Kurul’un Karar’ı yukarıda izah edilen anlamı ile ulusal mevzuat açısından çelişki ortaya koysa ve KVKK’nin ivedilikle GDPR ile uyumlu hale getirilmesi gerektiğini hatırlatsa da aynı zamanda şirketler ve uygulayıcılar açısından veri koruma hukukunun bütüncül düşünülmesi gerektiğini ve kişiselleştirilmemiş matbu metinler ile uyum sağlanamayacağını da göstermektedir.

Daha fazla bilgi için lütfen irtibata geçin;

furkan.okse@kyolegal.com