Facebook Fotoğraf API İhlali: “Sistemsel Hata” ve 1.650.000 TL Para Cezası (Karar: 2019/104)
Kişisel Verileri Koruma Kurulu (Kurul), 11/04/2019 tarihli bu kararı ile küresel teknoloji devlerinin de KVKK denetimine tabi olduğunu ve “yazılım hatası” (bug) argümanının veri güvenliği sorumluluğunu ortadan kaldırmadığını tescil etmiştir. Karar, Türkiye’deki yaklaşık 300 bin kullanıcıyı etkileyen ve kamuoyunda “Fotoğraf API Hatası” olarak bilinen ihlali cezalandırmaktadır.
1. Olayın Özeti: Taslak Fotoğraflar Bile Sızdı
Olay: Facebook bünyesinde, üçüncü taraf uygulamaların kullanıcı fotoğraflarına erişmesini sağlayan bir API’da (Uygulama Programlama Arayüzü) hata meydana gelmiştir.
- İhlal Kapsamı: Normalde kullanıcılar sadece “zaman tünelinde” paylaştıkları fotoğraflara erişim izni vermişken; bu hata nedeniyle uygulamalar Marketplace, Facebook Stories ve hatta kullanıcıların sadece taslak olarak yükleyip henüz paylaşmadığı fotoğraflara da erişebilmiştir.
- Etki: Dünya genelinde 6,8 milyon kullanıcı ve 1.500 uygulama etkilenmiş; Türkiye’den ise yaklaşık 300 bin kişinin verileri risk altına girmiştir.
2. Kurulun Hukuki Değerlendirmesi
Kurul, Facebook’un bu süreçteki ihmallerini üç temel başlıkta analiz etmiştir:
A. Teknik Tedbir Yetersizliği ve Kontrol Kaybı
API hatasının 12 gün boyunca fark edilememesi/müdahale edilememesi, Facebook’un platformundaki veri akışını kontrol edemediğinin ve gerekli teknik tedbirleri (Md. 12/1) almadığının bir göstergesidir. İzin verilen kapasiteden çok daha fazla veriye erişilmesi, “sınırlı ve ölçülü olma” ilkesine (Md. 4) doğrudan aykırıdır.
B. Açık Rızanın Sakatlanması (Hizmet Şartı)
Kurul, Facebook’un uygulamalara giriş aşamasında kullanıcıya seçenek sunmadan tüm verilere erişim izni almasını (ya hep ya hiç mantığı) incelemiştir. Açık rızanın bir hizmetin ön şartı olarak sunulması, rızayı sakatlar ve dürüstlük kuralına aykırı bir işleme faaliyeti doğurur.
C. Bildirim Yükümlülüğünün İhlali
Facebook, ihlali 19 Eylül 2018’de tespit etmesine rağmen KVKK Kurumu’na herhangi bir bildirimde bulunmamıştır. İlgili kullanıcılara ise olaydan aylar sonra (Aralık 2018) haber vermeye başlamıştır. Bu durum, Kanun’un 12/5 maddesindeki “en kısa sürede bildirim” şartının ihlalidir.
3. Karar Sonucu: Toplam 1.650.000 TL Ceza
Kurul, iki ayrı maddeden Facebook’a rekor ceza kesmiştir:
- Veri Güvenliği İhlali: Gerekli teknik ve idari tedbirleri almadığı için 1.100.000 TL,
- Geç Bildirim: İhlali Kurul’a ve ilgilisine en kısa sürede bildirmediği için 550.000 TL,idari para cezası uygulanmasına karar verilmiştir.
4. Özgür Eralp Perspektifi: “Taslaklar Mahremiyetin Kalesidir”
Bilişim hukuku alanındaki tecrübemizde, “henüz paylaşılmamış” verilerin sızması kadar ağır bir güven zafiyeti az bulunur. Bir kullanıcının taslağa yüklediği fotoğraf, onun henüz kamusallaştırmadığı, belki de vazgeçtiği bir mahremiyet alanıdır. Facebook gibi devlerin “bu bir yazılım hatasıydı” diyerek sorumluluktan kaçması mümkün değildir; zira o yazılımı güvenli kılmak en büyük “Veri Sorumlusu” ödevidir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, sadece sızan veriden değil, “sızdığını bile bilmedikleri” veriden de sorumludur. Kararda geçen “erişilip erişilmediğini belirleyemedi” tespiti, teknik altyapının ne kadar zayıf kaldığını kanıtlıyor. Platform sahipleri, kullanıcıya seçim şansı bırakmayan “zorunlu rıza” ekranlarından vazgeçmeli ve bir hata oluştuğunda “72 saat” kuralına sadık kalarak dürüstçe bildirim yapmalıdır. Gizlemek, her zaman cezayı katlar.
Sıkça Sorulan Sorular
1. Facebook’ta paylaşıp sonra sildiğim veya taslakta bıraktığım fotoğraf güvende mi?
Normal şartlarda evet, ancak bu karar gösteriyor ki API hataları nedeniyle yetkisiz uygulamalar bu verilere erişebilir. Güvenlik için izin verdiğiniz “üçüncü taraf uygulama ayarlarını” periyodik olarak kontrol etmelisiniz.
2. Veri ihlali olduğunda Facebook bana nasıl haber vermeli?
Kanun uyarınca Facebook, ihlali tespit ettiği an “en kısa sürede” size e-posta, bildirim veya web sitesi ilanı gibi doğrudan yollarla ulaşarak hangi verilerinizin etkilendiğini bildirmek zorundadır.
3. Bu ceza Türkiye’deki kullanıcıların zararlarını karşılar mı?
Hayır. Kurul’un kestiği idari para cezası devlet hazinesine gider. Eğer bu ihlal nedeniyle bir zararınız oluştuysa (örneğin özel bir fotoğrafınızın ifşası), Facebook’a karşı kişisel olarak tazminat davası açmanız gerekir.
4. “Açık rıza” kutucuğunun zorunlu olması neden yasak?
Çünkü rıza “özgür irade” ile verilmelidir. “Bu uygulamayı kullanmak istiyorsan tüm listene erişmeme izin vereceksin” demek baskıdır ve KVKK bu rızayı geçersiz sayar.
5. 1.650.000 TL ceza Facebook için küçük değil mi?
Karar tarihindeki (2019) ceza limitlerine göre bu rakam en üst sınırların zorlandığını göstermektedir. Ayrıca bu karar, global devlerin Türkiye hukukuna karşı sorumlu olduğunu gösteren sembolik bir zaferdir.
Kaynaklar
- KVKK Kurumu – 2019/104 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 12, 15 ve 18)
- Facebook Geliştirici Blogu (Aralık 2018 Duyurusu)
Etiketler
KVKK, Facebook İhlali, Fotoğraf API Hatası, Veri Güvenliği, İdari Para Cezası, 2019/104 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Geç Bildirim, Taslak Fotoğraflar, Üçüncü Taraf Uygulamalar, Global Veri İhlali
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),