Son zamanlarda kişisel verilerin ihlali skandallarıyla gündeme sıkça gelen Facebook’a bir ceza da ülkemizden, Kişisel Verileri Koruma Kurumu’ndan geldi.
Daha önce, 13-25 Eylül 2018 günleri arasında 12 gün boyunca veri sızıntısının yaşanmış olduğunu tespit ettiklerini itiraf eden Facebook’un açıklamasını bu haberimizde konu almıştık. Sızıntının yaşanmasının ardından 2 ay geçtikten sonra bu itirafta bulunan Facebook’un veri ihlalinden dolayı ceza alması gerektiğini aktarmıştık. Facebook, yaptığı açıklamada bu sızıntının kurallar kapsamında 72 saat içerisinde Avrupa Birliği yetkili kuruluna bildirdiğini söylemişti ancak görünen o ki Avrupa Birliği yetkili kurumuna yapılan bildirim Türkiye’nin Kişisel Verileri Koruma Kurumu’na yapılmamış.
Kurul, 10 Mayıs’ta yaptığı açıklamada Facebook’un hem veri hem de kural ihlalini değerlendirdiklerini ve veri sızıntısı için 1.100.000 TL, kural ihlali içinse 550.000 TL idari para cezasına oy birliğiyle karar verildiğini belirtti.
Yapılan açıklamada:
”
Karar Tarihi | : 11/04/2019 |
Karar No | : 2019/104 |
Konu Özeti | : Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi |
Yapılan inceleme neticesinde,
-
- Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, Facebook tarafından yapılan inceleme sonrası bu durumu potansiyel bir yazılım bozukluğu olarak rapor ettiği,
-
- API hatasının 13 Eylül – 25 Eylül 2018 tarihleri arasında 12 gün boyunca gerçekleştiği, bahse konu API hatasına Facebook tarafından zamanında müdahale edilmemesi bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu,
-
- Üçüncü taraf bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan ihlalden kaynaklı Marketplace veya Facebook Stories’de paylaşılan diğer fotoğraflara da üçüncü taraf uygulamaların erişim sağladığı, ayrıca Facebook kullanıcılarının Facebook’a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflara da söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate alındığında, Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda fotoğraflara erişim sağlanmasının, Kanunun 12 nci maddesinin (1) numaralı fıkrasına ve 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği,
-
-
- Facebook’un bahsi geçen üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, bu durumun Facebook’un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı ve bu kapsamdaki hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasında öngörülen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil ettiği,
- Türkiye’de bulunan yaklaşık 300 bin kullanıcının veri ihlalinden etkilenmiş olabileceği,
-
-
-
- Facebook platformu uygulamaları daha ilk aşamada “Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek şekilde çalışması hususunda izin almaktadır. İlgili kişilerin uygulamada paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmaktadır. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendine belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
-
- Açıklanan ihlalin 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceği,
-
- Kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan Facebook veri ihlali, Facebook Mühendislik Direktörü Tomer Bar tarafından 14.12.2018 tarihinde developers.facebook adresinde söz konusu Facebook uygulamasından kaynaklanan ihlalin “Geliştirici ekosistemimizi bir fotoğraf API’si hatası hakkında bilgilendirme” başlığıyla duyurmasının böyle bir ihlalin varlığı ve Facebook tarafından kabulü anlamına geleceği
hususları dikkate alınarak
1) Yukarıda gerekçeleriyle ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL oy birliğiyle,
2) Söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve 13.09.2018 – 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL oy birliğiyle
idari para cezası uygulanmasına,
karar verilmiştir.“
denildi.
Daha önce de farklı veri ihlalleriyle karşımıza çıkan Facebook, bu durumu değiştirmek için çalıştığını iddia ediyor. Yakın gelecekte neler olacağını hep beraber göreceğiz.
Bu da ilginizi çekebilir:
[button color=”red” size=”normal” alignment=”center” rel=”follow” openin=”newwindow” url=”https://www.gelecekburada.net/facebook-secime-etkisinin-arastirilmasi-icin-ozel-verileri-paylasacak/”]Facebook, Seçime Etkisinin Araştırılması İçin Özel Verileri Paylaşacak[/button]