Kişisel Verileri Koruma Kurulu’ndan ‘’Facebook’’ Kararı
03 Ekim 2019
Kişisel Verileri Koruma Kurulu’nun 18.09.2019 tarih ve 2019/269 sayılı kararı ile Facebook Inc. hakkında toplamda 1.600.000 TL idari para cezası uygulanmasına karar verildi.
Kurul tarafından resen yürütülen inceleme, Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli veri ihlali bildirimine ilişkin e-posta ile başladı. Facebook, sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklandığını belirttiği veri ihlaline ilişkin Kuruma bilgilendirme yaptı.
Kurul tarafından yapılan inceleme neticesinde, veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;
Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği,
Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,
tespit edildi.
Kurul, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği kanaatine vararak, Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğuna karar verdi.
Facebook’un bahsi geçen söz konusu uygulamasında ortaya çıkan bu zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmiş olduğu, bu durumun gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, dolayısıyla 6698 sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğuna karar verildi. Veri ihlalinin ise Facebook tarafından 14 – 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği belirtilmiş olmasına rağmen Kurul, 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 – 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceğini dikkate alarak, ihlale zamanında müdahale edilmediğine karar verdi.
Veri ihlali neticesinde Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
133.510 kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı,
143.974 kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
Yerel ayarlar [kullanıcı tarafından seçilen dil]
İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
Memleket [kullanıcı tarafından profilde belirlendiği üzere]
Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder]
Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
Facebook’ta son zamanlarda yapılan aramalar
Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
3.475 kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı yönünde değerlendirme yapıldı.
Kurul, ihlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği kanaatiyle,Facebook’un teknik ve idari tedbirlerde kusurunun bulunması ve veri ihlali hakkında Kuruma yazılı bildirim yapılmaması gerekçeleriyle toplamda 1.600.000 TL tutarında idari para cezası uygulanmasına karar verdi.