Kişisel Verilerin Korunması Kurumu ("Kurum"), TikTok hakkındaki çeşitli haberler ve şikayetler nedeniyle TikTok'a ilişkin yürüttüğü inceleme sonucunda TikTok'a 1,75 milyon TL idari para cezası verdi.

Karar, Kurum'un internet sitesinde 1 Mart 2023 tarihinde yayınlandı.

1. Kararın özeti

Kurum'un kararını aşağıda özetliyoruz;

  • TikTok'un, 13-15 yaş arasındaki kullanıcıları için varsayılan gizlilik ayarını "özel" olarak değiştirdiği ve yapılan bu değişiklik doğrultusunda Ocak 2021'de gizlilik politikasını güncellediği, ancak bu değişiklikten önce hassas yaş grubunda olan kullanıcı profillerinin varsayılan olarak herkese açık olduğu ve bu durumun bir risk teşkil ettiği;
  • Bu değişiklikten önce, uygulamayı kullanan 13 yaşın altındaki çocukların kişisel verilerinin görüntülenebildiği ve çocukların kişisel verilerinin, TikTok tarafından uygun ebeveyn izni alınmaksızın toplandığı;
  • TikTok'un gizlilik politikasının veri işlemeye ilişkin KVKK'nın 5. maddesinde yer alan işleme şartlarının tümünü içerdiği, fakat hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği konusunda net bir bilgi içermediği;
  • Kullanıcılara, hesap oluşturmaya devam etmeleri halinde TikTok'un hizmet koşullarını ve gizlilik politikasını kabul etmiş sayılacaklarının belirtildiği, fakat hizmet koşullarının henüz Türkçe tercümesinin bulunmaması sebebiyle kullanıcıların hizmet koşullarını tam olarak anlayamadan onaylarının alınmasının gündeme geldiği;
  • TikTok'un, aydınlatma yükümlülüğünü yerine getirmek için gizlilik politikasını kullanıcılarına sağladığı, fakat aynı belgeyi kullanıcılarının açık rızasını almak için de kullandığı; ve
  • TikTok'un, profilleme amacıyla çerezleri kullanarak gerçekleştirdiği kişisel veri işleme faaliyetlerine ilişkin olarak kullanıcılardan açık rıza almadığı tespit edilmiştir.

Yukarıda belirtilen sebeplerden ötürü, Kurum;

  • TikTok'a 1.75 milyon TL idari para cezası ile
  • Hizmet koşullarını Türkçe'ye çevirme ve
  • KVKK'ya uygun aydınlatma metni hazırlama talimatı vermiştir.

2. Karar kimleri ilgilendiriyor?

Karar;

(i) Reşit olmayanların (özellikle 13 yaşın altındakilerin) kişisel verilerini işleyen,

(ii) İlgili kişilerin profilini çıkarmak amacıyla çerezleri kullanan,

(iii) İlgili kişilere/kullanıcılara aydınlatma metnini veya hizmet koşullarını sağlamak için Türkçe dışında bir dil kullanan,

(iv) Aydınlatma metinlerinde veri işleme süreçlerine ilişkin detaylı bilgilere yer vermeyen ve/veya aydınlatma metinlerini -açık rıza metni gibi- rıza almak için de kullanan veri sorumlularını ilgilendiriyor.

3 Çıkartılması gerek dersler nelerdir?

Kurum'un TikTok ile ilgili kararına ilişkin olarak çıkartılması gerek dersler şunlardır;

  • Hizmetleri küçükleri de hedefleyen bir veri sorumlusu, küçüklerin verilerinin işlenmesi için bir risk değerlendirmesi yapmalıdır;
  • KVKK'da 13 yaşın altındaki küçüklerin kişisel verilerinin işlenmesi durumunda ne yapılması gerektiğine ilişkin bir düzenleme bulunmamasına rağmen, bu kararla birlikte 13 yaşın altındaki küçüklerin kişisel verileri, uygun ebeveyn onayı alınmaksızın toplanması/işlenmesi riskli hale gelmiştir;
  • Aydınlatma metni (i) işlenen veriler, (ii) işleme amacı ve (iii) işlemenin yasal dayanağı (ayrıca KVKK uyarınca toplama yöntemi) hakkında açık ifadeler içermelidir;
  • Aydınlatma metni ve hizmet koşulları, Türkiye'deki ilgili kişilere Türkçe olarak sunulmalıdır;
  • Açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetleri bakımından, ilgili kişilere aydınlatma metninden ayrı olarak açık rıza metni sunulmalıdır,
  • Çerezleri kullanarak profil oluşturma faaliyetlerinde bulunan veri sorumluları, ilgili kişilerden açık rıza almalıdır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.