bulamadim:(
03-10-2019
Facebook hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Karar Özeti
Karar Tarihi : 18/09/2019
Karar No : 2019/269
Konu Özeti : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar
Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin göndermiş olduğu e-postada özetle;
ifadelerine yer verilmiştir.
Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.
Kurul tarafından yapılan inceleme neticesinde,
a. Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği,
b. Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
c. Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
d. Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,
göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,
2. İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise 6698 sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,
3. İlgili zafiyetten kaynaklı olarak ihlalin 14 - 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup,
a. 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
b. 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
c. Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı,
d. 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 - 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği
göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,
4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
o Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
o Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
o Yerel ayarlar [kullanıcı tarafından seçilen dil]
o İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
o Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
o Memleket [kullanıcı tarafından profilde belirlendiği üzere]
o Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
o Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
o Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
o Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
o İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
o Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
o Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder]
o Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
o Facebook’ta son zamanlarda yapılan aramalar
o Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,
5. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği,
6. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı,
tespit edilmiş olup, bu kapsamda
idari para cezası uygulanmasına,
oy birliğiyle karar verilmiştir.