Turkey: Kişisel Verileri Koruma Kurulu'nun TikTok Adli Sosyal Medya Platformu Hakkinda Vermiş Olduğu Karar

I. KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu ("Kurul"), sosyal medya platformu olan TikTok adlı uygulama hakkında yayımlamış olduğu kararda;

• Platformun Gizlilik Politikası'nda yapılan Ocak 2021 tarihli değişiklik öncesi, hassas yaş grubunda bulunan kullanıcıların profillerinin varsayılan olarak herkese açık olduğu ve bu durumun bu yaş grubundaki kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği,
• Bahse konu değişiklikten önce, uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı,
• TikTok'un Gizlilik Sözleşmesi'nde Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 5'inci maddesinde yer alan işleme şartlarının tümünün belirtildiği, ancak verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, bu kapsamda Kanun'un 4'üncü maddesinde belirtilen ilkelere aykırı hareket edildiği,
• TikTok'un Hizmet Koşulları kısmında onay alınırken ilgili metnin Türkçe tercümesinin yapılmadığı, içerik kolayca anlaşılır bir biçimde sunulmadığından kullanıcıların şartları tam anlamadan kabul etmesinin ihtimal dahilinde olduğu,
• TikTok'un Gizlilik Politikası'nın hem aydınlatma metni hem de açık rıza yerine kullanıldığı, dolayısıyla açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
• Profilleme yapılırken, veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı,

değerlendirmelerinde bulunmuş olup TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına ve birtakım hususlarda talimatlandırılmasına karar vermiştir.

II. KARAR KAPSAMINDA DİKKAT EDİLMESİ GEREKEN HUSUSLAR

Kurul'un vermiş olduğu bu karar neticesinde;

1. Kanun'da hassas yaş grubunda bulunanların kişisel verilerinin işlenmesine ilişkin şartlar belirtilmemesine rağmen, söz konusu kararda hassas yaş grubunda bulunan kişilerin uygun ebeveynlerinden onay alınmaksızın kişisel verilerinin işlenmesi Kurul tarafından riskli bulunmuştur. Bu bakımdan, sunduğu hizmetler hassas yaş grubundaki kitleler tarafından da kullanılan veri sorumlusunun bir risk değerlendirmesi yaparak bu riskleri azaltmak için tedbir alması gerekebilecektir.
2. İlgili kişiden açık rıza alınması şartıyla yürütülen kişisel veri işleme faaliyetleri kapsamında, mevzuat gereği açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi gerekmektedir.
3. Kişisel veri işleme faaliyetleri yürütülürken, bu faaliyetlerin Kanun'un 4'üncü maddesinde belirtilen genel ilkelere uyumlu olarak yürütülmesine dikkat edilmelidir.
4. Profilleme faaliyeti amacıyla çerez kullanan veri sorumlularının, bu faaliyetleri kapsamında ilgili kişilerden açık rıza alması gerekmektedir.
5. Hizmet koşulları ve aydınlatma metninin, bu metinleri Türkiye'deki kullanıcıların kolayca anlayabilmesi ve tam olarak anlayamadan kabul etmemesi için Türkçe olarak sunulması gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.