FACEBOOK HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 11.04.2019 TARİH VE 2019/104 SAYILI

KARAR ÖZETİ

Karar Tarihi : 11/04/2019
Karar No : 2019/104
Konu Özeti : Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi
 
Kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan Facebook veri ihlali, Facebook Mühendislik Direktörü
Tomer Bar tarafından 14.12.2018 tarihinde https://developers.facebook.com/blog/post/2018/12/14/notifying-our-
developer-ecosystem-about-a-photo-api-bug/ adresinden “Geliştirici ekosistemimizin bir fotoğraf API'si hatası
hakkında bilgilendirme” başlığıyla duyurulmuştur. Duyuruda;


 Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası
keşfedildiği,


 Sorunun çözüldüğü, ancak bu kusur nedeniyle 13 Eylül - 25 Eylül 2018 tarihleri arasında bazı üçüncü taraf
uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği,


 Üçüncü parti bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına
erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken,


açıklanan kusurdan kaynaklı Marketplace veya Facebook Stories'de paylaşılan diğer fotoğraflara da üçüncü
parti uygulamaların erişim sağladığı,


 Ayrıca söz konusu kusurun Facebook kullanıcılarının Facebook'a taslak olarak yüklediği ve henüz paylaşıma
açmadığı fotoğrafları da etkilediği,


 Açıklanan kusurun 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş
olabileceği,


 Açıklanan kusurun, Facebook'un fotoğraf API’sına erişmek için izin alan ve kişilerin fotoğraflarına erişebilen
uygulamaları etkilediği,


 Facebook uygulama geliştiricilerinin, uygulamalarını kullanan ve bu kusurdan etkilenen kişileri
belirlemelerine imkân sağlayacak araçların geliştirileceği,


ifadelerine yer verilmiştir.


Yukarıda ifade edilen durumun “veri gizliliğine/mahremiyetine” aykırı bir husus olması sebebiyle veri ihlali olduğu ve
bu ihlalin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer
alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu
durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a bildirilmesi
gerektiği ancak herhangi bir bildirimin yapılmadığı tespit edilmiştir. Bunun üzerine, Kanun’un 15 nci maddesinin (1)
numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına
giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.
Yapılan inceleme neticesinde,


 Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası
keşfedildiği, Facebook tarafından yapılan inceleme sonrası bu durumu potansiyel bir yazılım bozukluğu olarak
rapor ettiği,


 API hatasının 13 Eylül - 25 Eylül 2018 tarihleri arasında 12 gün boyunca gerçekleştiği, bahse konu API
hatasına Facebook tarafından zamanında müdahale edilmemesi bu konuda teknik ve idari tedbirlerin
alınmasında eksikliklerin göstergesi olduğu,

 Üçüncü taraf bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına
erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken,
açıklanan ihlalden kaynaklı Marketplace veya Facebook Stories'de paylaşılan diğer fotoğraflara da üçüncü
taraf uygulamaların erişim sağladığı, ayrıca Facebook kullanıcılarının Facebook'a taslak olarak yüklediği ve
henüz paylaşıma açmadığı fotoğraflara da söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate
alındığında, Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda
fotoğraflara erişim sağlanmasının, Kanunun 12 nci maddesinin (1) numaralı fıkrasına ve 4 üncü maddesinin
(2) numaralı fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde
belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği,


 Facebook’un bahsi geçen üçüncü taraf uygulamaların normalde erişime izin verilmiş olan sayıdan daha fazla
spesifik fotoğrafa gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, bu durumun
Facebook’un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı ve bu kapsamdaki
hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasında öngörülen veri güvenliğine ilişkin
yükümlülüklere aykırılık teşkil ettiği,


 Facebook platformu uygulamaları daha ilk aşamada “Arkadaşların, bağlantıların ve birlikte oyun oynadığın
diğer kişiler senin oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu oynayan
tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının arkadaş bilgilerine veya diğer bilgilere kişi
istemese bile ulaşabilecek şekilde çalışması hususunda izin almaktadır. İlgili kişilerin uygulamada paylaşmaya
izin verecekleri kişisel verilerinin neler olması gerektiği ve yükleme aşamasında gizlilik ayarlarıyla ilgili
seçimlere imkân sağlamayarak, kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmaktadır. Açık
rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin
sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Bu
durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendine belirtilen “Hukuka ve dürüstlük
kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,


 Açıklanan ihlalin 6,8 milyon kullanıcıyı ve 876 geliştirici tarafından oluşturulan 1.500 uygulamayı etkilemiş
olabileceği,


 Türkiye’de bulunan yaklaşık 300 bin kullanıcının veri ihlalinden etkilenmiş olabileceği,


 Kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan Facebook veri ihlali, Facebook Mühendislik
Direktörü Tomer Bar tarafından 14.12.2018 tarihinde
https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-
photo-api-bug/ adresinde söz konusu Facebook uygulamasından kaynaklanan ihlalin “Geliştirici
ekosistemimizi bir fotoğraf API'si hatası hakkında bilgilendirme” başlığıyla duyurmasının böyle bir ihlalin
varlığı ve Facebook tarafından kabulü anlamına geleceği hususları dikkate alınarak


1) Yukarıda gerekçeleriyle ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12 nci
maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında
Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL oy birliğiyle,


2) Söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığının ve
13.09.2018 - 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye
başlandığının tespit edildiği, bu çerçevede Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan en kısa sürede
bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı
fıkrasının (b) bendi uyarınca 550.000 TL oy birliğiyle idari para cezası uygulanmasına, karar verilmiştir.