TikTok’a ebeveyn izni olmadan 13 yaş altı çocuklar hakkında veri topladığı ve uygun güvenlik düzeyini temin etmeye yönelik idari ve teknik tedbirleri almadığı için 1.750.000 TL idari para cezası verilmiştir.
Konu ile ilgili olarak Kişisel Verileri Koruma Kurulunun 2023/134 sayılı karar özetinde; Tiktok Pte.Ltd. nezdinde gerçekleşen veri ihlalinin değerlendirdiği;
- 2021 yılı Ocak ayında Gizlilik Politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu,
- Veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde Kişisel Verilerin Korunması Kanunu’nun 5’nci maddesinde yer alan işleme şartlarının tümünün belirtildiği, ancak hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, bu hususta veri sorumlusunca Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
- Veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı anlaşılmıştır.
Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.750.000 TL idari para cezası uygulanmasına karar verilmiştir.
Buna ek olarak Veri Sorumlusunun;
- İlgili kişilerin doğru bilgilendirilmesi adına Hizmet Koşullarının bir ay içerisinde Türkçeye çevrilmesi,
- İlgili kişilerin doğru bilgilendirilmesi için söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesi,
- Gizlilik Politikasının, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.
Kararın tamamına linkten erişim sağlayabilirsiniz.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.