Oluşan bir hata nedeniyle bazı üçüncü uygulamaların, kullanıcıların fotoğraflarına erişimine izin verilmesinde veri ihlali tespit eden Kişisel Verileri Koruma Kurulunun Facebook'a toplam 1 milyon 650 bin lira idari para cezası vermesi, Türkiye'deki söz konusu mağdurların tazminat taleplerini gündeme getirdi.
Türkiye'den Facebook'a 'veri ihlali' cezası
Kişisel Verileri Koruma Kurulu tarafından yayımlanan kararda, veri ihlalinden Türkiye’de yaklaşık 300 bin kullanıcının da etkilendiğinin belirtilmesinin ardından mağdur olan vatandaşların kişisel verilerin kimlere aktarıldığı konusunda bilgi talep edebileceğini, kişisel verilerinizin silinmesini veya yok edilmesini isteyebileceği veya bir zarar görmüşse tazminat talep edebileceği belirtiliyor.
İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Genel Sekreteri, Veri Koruma Derneği Yönetim Kurulu Üyesi Av. Burak Özdağıstanlı, yaptığı açıklamada, 7 Nisan 2016'da yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında verilen en ağır idari para cezasının Facebook’a kesildiğini söyledi.
Özdağıstanlı, Kişisel Verileri Koruma Kurulunun Facebook nezdinde resen yaptığı inceleme neticesinde toplamda 1 milyon 650 bin lira tutarında idari para cezası uygulanmasına karar verdiğini anımsatarak, "Kurul tarafından verilen bu karar Türkiye'de faaliyet gösteren ve kişilerin verilerini toplayan her şirket için bir uyarı niteliğinde olmalı. Zira bu karar artık kişisel verileri hukuka aykırı bir şekilde işlemenin, yeterli önlemleri almamanın veya kanunda belirtilen gereklilikleri yerine getirmemenin cezasız kalmayacağını açık bir şekilde ortaya koyuyor." ifadelerini kullandı.
Facebook’a ceza kesilmesinin iki temel sebebi olduğuna dikkati çeken Özdağıstanlı, şunları kaydetti:
"Bunlardan ilki, Facebook tarafından kişisel verilerin korunması için yeterli teknik ve idari tedbirleri almadığına kanaat getirilmesi, ikinci olarak da kişisel verilerin yetkisiz kişilerce ele geçirildiğinin ve veri ihlalinin Facebook tarafından kuruma bildirmemesi. Türkiye’de faaliyet gösteren yerli ve yabancı her şirket, büyüklüğüne bakılmaksızın mutlaka KVKK konusunda çalışma yürüten uzman avukatlar ve bu konuda teknik hizmet veren bilişim uzmanlarına danışmalı. Veri sorumlusu olarak nitelendirilen bu şirketler eğer bugüne kadar başlamadılar ise mutlaka kanuna uyum için yapılması gereken uyum çalışmalarını başlatmalı ve alınması gereken hukuki, idari ve teknik her türlü tedbiri almalılar. Burada, veri sorumlusu bünyesinde hangi verilerin işlendiğinin tespit edilmesi, verisi işlenen kişilere bilgilendirme yapılması, bu verilere erişim konusunda gerekli kontrollerin yapılması ve tedbirlerin alınması ve verilere yetkisiz bir erişim söz konusu olması durumunda bildirim yapılması gibi adımlar var."
Özdağıstanlı, veri sorumlusunun bu konuda bir ihlal meydana gelmesi durumunda, en geç 72 saat içerisinde Kişisel Verileri Koruma Kurumuna bilgilendirme yapılması gerektiğini belirtti.
Bu ihlalden etkilenen kişilere en kısa sürede bilgilendirme yapılmasının da şart olduğunu vurgulayan Özdağıstanlı, "Kişisel Verileri Koruma Kurulu tarafından yayımlanan kararda veri ihlalinden Türkiye’de yerleşik yaklaşık 300 bin kullanıcının da etkilenmiş olabileceği belirtiliyor. Bu kişilere 17 Aralık 2018 tarihi itibariyle bildirimler yapılmaya başlandı. Facebook tarafından yapılan duyuruda ise söz konusu bildirimlerin Facebook üzerinden etkilenen kişilere iletildiği açıklanmakta." dedi.
Özdağıstanlı, Facebook tarafından kendisine bildirim yapılanlar veya veri ihlalinden etkilenmiş olduğunu düşünenler ile bağlantı kurarak, kişisel verilerin işlenip işlenmediğinin öğrenilebileceğini, kişisel verileri işlenmişse buna ilişkin bilgi talep edebileceğini dile getirerek, "Mağdurlar, kişisel verilerin kimlere aktarıldığı konusunda bilgi talep edebilir, kişisel verilerinin silinmesini veya yok edilmesini isteyebilir, bir zarar görmüşse tazminat talep edebilir." ifadelerini kullandı.
Bilişim Hukuku Derneği Başkanı Av. Kürşat Ergün de alınan kararın son derece yerinde ve isabetli olduğunu belirtti.
Bu kararın nasıl uygulanacağının çok önemli olduğunu kaydeden Ergün, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından Twitter hakkında geçmiş dönemlerde idari para cezası ödemesine dair kararlar verildiğini anımsattı.
Ergün, Twitter’ın Türkiye’de faaliyet gösteren bir tüzel kişiliği veya temsilciliği bulunmaması sebebiyle cezaların uygulanamadığını dile getirerek, "Bu sorunların çözümü adına, bu gibi uluslararası firmaların Türkiye makamlarınca muhatap kabul edilebilecek, Türkiye kanunlarına göre faaliyet gösteren birer temsilciliğin kurdurulması önem taşıyor." şeklinde konuştu.
AA