Kişisel Verileri Koruma Kurumu’nun internet sitesinde, 3 Ekim 2019 tarihinde Kişisel Verileri Koruma Kurulu’nun Facebook hakkında verdiği bir karar yayınlanmıştır.

Facebook hakkında Kurul tarafından verilen 18.09.2019 tarih ve 2019/269 sayılı Karar (“Karar”) Özeti

Kurul tarafından Facebook hakkında veri güvenliği ihlali ve bu ihlalin Kurul’a bildirilmemesi nedeniyle 1.600.000 TL idari para cezası uygulanmıştır. İnternet sitesinde yayınlanan Kurul kararına göre;

Facebook temsilcisi tarafından Kurul’a 14.10.2018 tarihinde bir e-posta gönderilmiştir. İlgili e-postada özetle, Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisi tarafından gönderilen aynı bilgilendirmede takip eden hafta içinde yazılı olarak Kurul’a bilgi arz edileceğinin ifade edilmesine rağmen herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, resen inceleme yapma kararı almıştır.

Kurul tarafından yapılan inceleme neticesinde ihlale konu olayın detayları aşağıdaki gibidir;

Veri ihlali, Facebook sisteminin birbirinden farklı üç özelliği olan, Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklanmaktadır. Bu durum bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde gelen ekranda, kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunu vermektedir. Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisi bir erişim jetonu üretmekte, bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olmakta, üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabilmektedir.

Facebook’u Türkçe olarak kullanan 280.959 kullanıcının bu ihlalden etkilendiği tespit edilmiştir. Kişilerin hangi verilerine erişildiğine yönelik Karar’da gruplandırma yapılmış olup grup bazında erişilen veriler* aşağıda yer almaktadır. Kurul bahsi geçen kişisel veriler dışında, kullanıcıların profil bilgilerine de erişilmesi nedeniyle özel nitelikli verilerin de ihlalinin gündeme gelebileceğini belirtmiştir. Bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiğine karar verilmiştir.

Kurul, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiğini dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğuna karar vermiştir.

Aynı zamanda, ihlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği sonucuna varılmıştır.

Sonuç olarak Facebook hakkında,

• Bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.150.000 TL,

• Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12. maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL,

idari para cezası uygulanmasına karar verilmiştir.

*Grup 1

Temel profil bilgileri (isim, telefon numarası veya eposta bilgileri)

Grup 2

(İlgili alanlarda kullanıcı tarafından profilde belirlenmiş olması şartıyla);

• Kullanıcı adı, Ad (profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa))
• Cinsiyet
• Yerel ayarlar (kullanıcı tarafından seçilen dil)
• İlişki durumu
• Din bilgisi
• Memleket
• Konum (yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere)
• Doğum günü
• Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
• Eğitim geçmişi
• İş geçmişi
• Web sitesi (kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları)
• Kimlik doğrulama (bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder)
• Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi (bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir)
• Facebook’ta son zamanlarda yapılan aramalar
• Kullanıcının takip ettiği 500’e kadar başlıca hesaplar

Grup 3

Yukarıdaki iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki diğer veriler

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu