1 Mart 2023 tarihinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan 2023/134 sayılı kararda, Tiktok uygulamasına Kişisel Verileri Koruma Kanunu’nun (“KVKK”) kişisel verilerin elde edilmesi ve işlenmesi hükümlerine aykırılık gösterdiği gerekçesi ile idari para cezası uygulanmıştır.
Bu kararda;
- Tiktok uygulamasının Ocak 2021’de Gizlilik Politikası’nı güncelleyip bu güncelleme ile 13 ila 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirilerek yalnızca kullanıcının onayladığı takipçilerin paylaştığı videoların görüntülenebildiğinin ve videoları indirebilecek ve yorum yapabilecek kişilerin sınırlandırıldığının tespit edildiği, fakat güncelleme öncesinde varsayılan gizlilik ayarının “herkese açık” olarak belirlenmesi neticesinde etkileşimde herhangi bir sınırlama olmaması sebebiyle uygulamayı kullanan hassas yaş grubunun üzerinde olumsuz sonuç doğma riskinin bulunduğu,
- Uygulamanın internet sitesinde yer alan Gizlilik Sözleşmesi’nde KVKK’nın 5. maddesinde yer alan işleme şartlarının tümünün belirtildiğini ancak hangi kişisel verilerin ne amaçla ve hangi işlem şartına dayanılarak işlendiği hakkında net bilgi verilmediğinden KVKK’nın 4. maddesindeki “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
- Uygulamada hesap oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri durumunda Hizmet Koşulları ile Gizlilik Politikasını kabul etmiş sayılacaklarının belirtildiği ancak bu onay alınırken ilgili metnin Türkçe olmaması sebebi ile metni onaylayan kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesi ihtimalinin bulunduğu,
- Platformda hesap oluşturulurken veya oluşturulup kullanırken belirtilen Gizlilik Politikasının aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış olup açık rızaya ilişkin ayrıca bir metin kullanılmadığı ve bu sebeple Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (f) bendine göre açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetleri bakımından açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
- TikTok tarafından profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin de ilgili kişilerden açık rıza alınmadığı ve bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı
ifadelerine yer verilerek kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen Tiktok hakkında 1.750.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bunun yanı sıra Tiktok’un ilgili kişilerin doğru bilgilendirilmesi adına Hizmet Koşullarının bir ay içerisinde Türkçeye çevrilmesi ve bu kişilerin doğru bilgilendirilmesi için söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde KVKK’ya uygun hale getirilmesi, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılmadığı anlaşıldığından geçerli bir aydınlatma yapılması hususlarında talimatlandırılmasına karar verilmiştir.
2023/134 sayılı kararın özetine bu bağlantıdan erişebilirsiniz.
