Hollanda Veri Koruma Kurumu TikTok’a 750.000 Avro Para Cezası Verdi

TİKTOK’UN VERİ KORUMA OTORİTELERİ İLE İMTİHANI

Yolculuğuna Bytedance adlı Çinli dev teknoloji şirketi bünyesinde Eylül 2016’da Douyin adıyla Çin’de başlayan ve uluslararası piyasada yayılması ile birlikte Eylül 2017’de şimdiki adını alan TikTok video oluşturma ve paylaşmanın yanı sıra canlı yayın imkânı sağlayan bir sosyal medya uygulaması. Kullanıcıların müzikal, dans, komedi, oyunculuk, dudak senkronizasyonu ve diğer türlerde 15 saniyelik, kısa videolar üretmesine olanak sağlayan uygulama, 150 ülkede 1 milyar kullanıcı barajını aştı. Yapılan araştırmalar, sosyal paylaşım platformu TikTok’un 2020’de en çok indirilen uygulama olduğunu ortaya çıkarttı. TikTok böylelikle Facebook, WhatsApp, Instagram ve Facebook Messenger’ı geride bıraktı[1]. Popülerliği arttıkça dikkatleri üzerine çeken uygulama, birçok ülkede çeşitli düzenleyici kuruluşların da radarına girmiş oldu.

Kısa videoların paylaşıldığı uygulama, özellikle gençler arasında popüler durumda. Dolayısıyla da özellikle küçüklerin kişisel verilerini işleyen TikTok bu işleme faaliyetlerinin hukuka uygun olmadığı gerekçesiyle çokça eleştiriye maruz kalırken TikTok aleyhinde soruşturma açıldığı yahut TikTok’a para cezası verildiğine dair kamuoyu duyurularına da sık sık şahit oluyoruz.

Hollanda Veri Koruma Kurumu’nun 22 Temmuz 2021 Tarihinde duyurduğu Kararı

Bu duyurulardan en güncelinden bahsedecek olursak geçtiğimiz günlerde TikTok, Hollanda Veri Koruma Kurulu (AP) tarafından çocuk kullanıcıların mahremiyetini ihlal ettiği gerekçesiyle 750.000 Euro para cezasına çarptırıldı. Kararda, uygulamanın indirilmesi ve kullanılması sırasında çoğu gençlerden oluşan kullanıcılara kişisel verilerin nasıl toplandığı, işlendiği ve kullanıldığı hakkındaki bilgilendirmenin yani aydınlatmanın Felemenkçe değil İngilizce olarak yapılmasının, GDPR’ın 12(1). Maddesinde yer alan, bildirimlerin şeffaf ve anlaşılır olarak yapılması gerektiğine dair yükümlülüğü ihlal ettiği değerlendirildi.

22 Temmuz 2021 tarihinde Kurulun web sitesinde yayınlanan kararın özeti şöyledir[2]:

Yetkili Kurum Tartışması

Bilindiği gibi GDPR’ın 3’üncü maddesinde Tüzüğün bölgesel kapsamı düzenlenmiş olup şayet veri sorumlusu ya da veri işleyen Birlik içerisindeki işletmesinin faaliyetleri ile ilgili veri işliyorsa, veri işleme faaliyetinin Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın GDPR hükümleri uygulanır. Öte yandan veri sorumlusu ya da veri işleyen Birlik içerisinde yerleşik değilse ve fakat işleme faaliyetleri Birlik içerisinde gerçekleşiyorsa Tüzük hükümleri yine uygulanır. İkinci seçeneğin işletilebileceği haller GDPR md. 3(2)’de şu şekilde ifade edilmiştir:

İlgili kişinin bir ödeme yapmasına gerek olmaksızın Birlik içerisindeki söz konusu ilgili kişilere mal ya da hizmetlerin sunulması veya,
Davranışları birlik içerisinde gerçekleştiği ölçüde, bu ilgili kişilerin davranışlarının izlenmesi.

Son olarak Birlik içerisinde olmamakla birlikte uluslararası kamu hukuku kuralları gereğince bir üye devlet hukukunun uygulandığı yerde kurulu olan veri sorumlusunun veri işleme faaliyetlerine de Tüzük uygulanacaktır.

İlgili maddeye bakıldığında TikTok’un Birlik (ve Avrupa Ekonomik Topluluğu) dışında kurulu olması ve fakat bu bölgedeki kullanıcılara hizmet sunması nedeniyle ikinci maddeye tabi olarak Tüzüğün kapsamında kaldığı görülmektedir.

GDPR’ın 55(1) maddesi gereğince her denetim otoritesi yetkilerini yalnızca kendi ülkesi sınırlarında kullanabilecektir. Buna karşılık sınır aşan veri işleme faaliyetleri söz konusu olduğunda ise 56(1). Maddeye göre veri sorumlusu ya da veri işleyenin tek kuruluşunun yahut (birden fazla kuruluşu varsa) ana kuruluşunun olduğu yerdeki denetim otoritesi, 60’ncı maddede belirtilen usule uygun olarak baş denetim otoritesi sıfatıyla yetkili olacaktır (“one stop shop” mekanizması). Soruşturma devam ederken baş denetim otoritesi sıfatı değişebilir ancak bu ilk denetim otoritesinin yetkisiz hale geldiği anlamına gelmez, önceki baş denetim otoritesi tarafından alınan aksiyonlar ve toplanan deliller geçerliliğini korur ve yeni baş denetim otoritesi tarafından kullanılabilir. Aynı zamanda böyle bir durumda 60’ncı maddedeki işbirliği prosedürü de uygulanır, bunun anlamı ilk baş denetim otoritesinin nihai kararın verilmesi aşamasına dahil olacağıdır.

Bu açıdan Tiktok kararına bakıldığında 2 Ekim 2020 tarihinde AP, TikTok UK ve TikTok Inc. hakkında kararı uygulama niyetini bildirmiş, soruşturma raporu ve belgeleri göndermiştir. Böylece TikTok UK ve TikTok Inc’ye araştırma raporu hakkında görüşlerini açıklama imkanı verilmiştir.

TikTok öncelikle AP’nin yetkisine itiraz etmiştir. Gerekçe olarak ise TikTok’un kontrolünün 29 Temmuz 2020’de TikTok Inc’den ortak veri sorumluları sıfatıyla TikTok İrlanda ve TikTok Birleşik Krallık’a (TikTok UK) geçtiğini ve GDPR md 4(16)’ya göre ana kuruluşun TikTok İrlanda olduğunu ileri sürmüştür. Dahası bu tarihten önce AP’nin yetkili olduğunu gösteren herhangi bir delil ortaya konulamamıştır.

TikTok’un yetki itirazını inceleyen AP, soruşturmanın başladığı tarihte, şirketin ana kuruluşunun GDPR md. 4(16) uyarınca Avrupa Birliği içerisinde olmadığının bilincindedir. Ancak bu dönemde veri sorumlusu olarak TikTok Inc. GDPR md. 27 uyarınca TikTok UK şirketini temsilcisi olarak atamıştır. Bu nedenle, GDPR 56(1). Maddesi soruşturmanın başında uygulanabilir olmayıp AP, 25 Mayıs 2018 ve 28 Temmuz 2020 tarihleri arasında gerçekleşen ihlaller yönünden GDPR 55(1) gereğince yetkilidir.

Öte yandan 29 Temmuz 2020 tarihi itibariyle ana kuruluş İrlanda’da olduğundan, bu tarihten sonraki ihlaller için yetkili kuruluş İrlanda Veri Koruma Kurumu olacaktır.

Hukuki Çerçeve

GDPR’ın 5’inci maddesinde kişisel veri işlerken uyulması gereken ilkeler belirlenmiştir. Maddenin birinci fırkasının (a) bendine göre ilgili kişilere ilişkin kişisel veriler hukuka uygun, adil ve şeffaf bir şekilde işlenmelidir. Bu amaçla bağlantılı olan 12(1) maddesine göre, 13’üncü maddede düzenlenen aydınlatma yükümlülüğü kapsamında ilgili kişiye sağlanması gereken bilgiler, ilgili kişiye öz, şeffaf, anlaşılabilir, kolayca erişilebilir bir şekilde ve (özellikle çocuklara yöneltilen herhangi bir bilgi söz konusu olduğunda) açık ve yalın bir dil kullanarak sunmak için gerekli tedbirleri almalıdır. Aydınlatma yazılı olabileceği gibi elektronik araçlar gibi başka araçlarla da yapılabilir.

Olaylar

Genel Olarak TikTok Uygulaması

TikTok kullanıcılarına bir uygulama aracılığıyla kısa video oluşturma, düzenleme ve başkalarıyla paylaşma imkanı veren bir platformdur. Bu platform aracılığıyla üyeler birbirleri ile arkadaş olabilir birbirlerine mesaj gönderebilir, diğerlerinin videolarını görüntüleyip beğenebilirler. Dolayısıyla TikTok aynı zamanda bir sosyal medya uygulamasıdır. TikTok’un önemli bir kısmını “Sizin İçin” sayfası oluşturmaktadır. Bu sayfada üyelerin tercihlerine bağlı olarak kişiye özel videolar kullanıcılara gösterilmekte olup hangi videoların gösterileceğine TikTok algoritması karar vermektedir. Bu algoritmanın ne şekilde çalıştığını ve hangi faktörlerin kriter olarak kullanıldığını yalnızca TikTok bilmektedir.

TikTok’un gelirlerinin ana kaynağını kişiselleştirilmiş reklamlar oluşturmaktadır. Soruşturma raporunun kaleme alındığı dönemde Felemenk kullanıcılara ilişkin olarak kişiselleştirilmiş reklamların bir ürün olarak reklamcılara henüz sunulmamış olduğu anlaşılmıştır. Ancak söz konusu ürün Fransa, İspanya, İtalya ve Birleşik Krallık gibi ülkelerde hali hazırda mevcuttur.

Kullanıcı Kaydı ve Kullanıcılara Gizlilik Politikasının Sunulması

Kayıt

Üye olmadan TikTok’taki video akışına ulaşmak mümkündür ancak TikTok’ta video oluşturmak, düzenlemek ve paylaşmak için hesap oluşturmak gerekmektedir. Kayıt dört aşamadan oluşmaktadır. İlk aşamada TikTok’a hangi yöntemle (telefon numarası, sosyal medya hesabı gibi) kayıt olunmak istendiği seçilmektedir ki bu aşamada kullanıcı TikTok Hizmet Şartları ve Gizlilik Politikası’nı kabul ettiği konusunda bilgilendirilmektedir. Bu belgelere ulaşabilmek için kullanıcıların belgelerin üzerine tıklaması mümkündür.

Sonrasında kullanıcı yaşını belirtmek zorundadır. Şayet kullanıcı 13 yaşın altında olduğunu gösteren bir doğum yılı belirtirse, kullanıcıya “üzgünüz, TikTok kullanmaya uygun olmadığın anlaşılıyor, ancak göz attığın için teşekkürler” şeklinde kırmızı bir çubuk içerisinde bilgilendirme gösterilmektedir. 2020 başına kadar bu kırmızı çubuk 5 saniye sonra kaybolmakta ve kullanıcı dilerse yeniden üyelik sayfasına dönüp farklı bir doğum tarihi girebilmekteydi. 2020 başından itibaren ise TikTok, yaşını 13’ün altında belirtilenlerin geçici bir süre ile girişini engellemeye başladı.

Üçüncü aşamada kullanıcı bir e-posta adresi girmek ve şifre belirlemek zorundadır. Bu aşamada kullanıcıya yine TikTok Hizmet Şartları ve Gizlilik Politikası’nı kabul ettiğine dair bildirim gösterilmektedir.

Ve son olarak dördüncü aşamada kayıt olmak isteyen kullanıcının bir robot olup olmadığı kontrol edilmektedir. Bu aşamadan sonra kayıt tamamlanmaktadır.

İngilizce Gizlilik Politikası

AP Aralık 2019 ve Şubat 2020’de çevrimiçi test gerçekleştirerek kullanıcıların uygulamaya nasıl kaydolduğunu ve hangi verilerini paylaştığını incelemiştir. Bu testlerde kayıt sırasında gösterilen Gizlilik Politikasının İngilizce olduğu görülmüştür. AP’nin Hollandalı çocukların kişisel verilerinin işlenmesi hakkındaki bilgilendirmenin nasıl yapıldığını sorması üzerine TikTok, bunu gizlilik politikası ile yaptığını belirtmiştir ki AP’ye sunduğu gizlilik politikası da İngilizcedir.

TikTok 26 Haziran 2020’de AP’ye yaptığı bir bilgilendirme ile 29 Temmuz 2020 tarihinden itibaren 16 yaşın altındaki çocuklar da dahil olmak üzere Felemenk kullanıcılara, gizlilik politikasını Felemenkçe sunacağını, ayrıca Felemenkçe konuşan çocuklar için uygun dil ve şekilde ayrı bir belge hazırladığını ifade etmiştir. Bu bilgilere dayanarak TikTok Inc’nin -çocuklar dahil- Felemenk kullanıcılara 25 Mayıs 2018 ve 28 Temmuz 2020 tarihleri arasında sunduğu Gizlilik Politikasının yalnızca İngilizce olduğu sonucuna ulaşılmıştır.

Kişisel Verilerin TikTok Tarafından İşlenmesi

Bir sosyal medya platformu olarak TikTok, hem kayıt olan hem de kayıt olmayan kullanıcıların kişisel verilerini işlemektedir. Örneğin kullanıcıların video paylaşmasını ve diğer kullanıcılarla iletişime geçmesini sağlamak için: kullanıcı kimliği, adı/kullanıcı adı, kullanıcı ayarları, kullanıcı içeriği, IP adresi, mobil operatörü, saat dilimi ayarları, uygulama sürümü, cihaz modeli, cihaz sistemi, ağ türü, cihaz kimliği, ekran çözünürlüğü, işletim sistemi, erişim tokenleri, appID, appsecret, kod, yeniden yönlendirilen URL (sosyal medya platformu aracılığıyla oturum açma/paylaşma) verilerini işlemektedir. Bu kişisel veri kategorileri, TikTok tarafından kişisel veri envanterinde belirtilmiştir. Bu envanterde TikTok, belirlediği tüm işleme amaçları için dayanak, saklama süresi, güvenlik önlemleri ve ülke dahil olmak üzere hangi kişisel verileri işlediğini açıklamaktadır.

TikTok’un Çocuklar Tarafından Kullanılması

TikTok çocuklar arasında yaygın bir şekilde kullanılan bir sosyal medya uygulamasıdır. Araştırmalara göre 16 yaşın altındaki Felemenk çocukların büyük bir çoğunluğu bu uygulamayı kullanmaktadır ve bu çocuklardan bazıları 12 yaş (hatta daha da altında) civarındadır. 2019 yılında yapılan bir araştırmanın sonuçları aşağıdaki grafikte gösterilmiştir:

Araştırmalar COVID -19 salgını ile birlikte uygulamanın yaşı daha büyük kişiler arasında da popülerleştiğini ortaya koymuştur. Aşağıdaki tabloda Mayıs 2020 itibariyle Hollanda ve Belçika’daki yaş dağılımı gösterilmektedir:

TikTok’un ana şirketi olan Bytedance tarafından Ağustos 2020’de yayımlanan verilere göre Hollanda’daki kullanıcı sayısı 4.5 Milyon kişiye ulaşmıştır. Bu sayıya göre her ne kadar ergen kullanıcıların artık en büyük paya sahip olduğu söylenemez ise de 13-17 yaş aralığındaki kullanıcıların, toplam kullanıcılar içindeki payı %28’dir. Bu açıdan bakıldığında AP, TikTok’un 16 yaşında altındaki çok sayıda Felemenk çocuk tarafından kullanıldığı tespit etmiştir.

Değerlendirme

Kişisel Veri İşleme

Kişisel veri

Kişisel veri envanterinden görüldüğü gibi 25 Mayıs 2018 – 28 Temmuz 2020 tarihleri arasındaki dönemde TikTok Inc. kullanıcıların paylaştıkları videolar, diğerlerine gönderdikleri mesajlar ve katıldıkları diğer (sosyal) aktiviteler dahil olmak üzere çok sayıda kullanıcıya ait veriyi işlemiştir. Buna dayalı olarak AP, bu verilerin tanımlanabilir gerçek kişilere ait veriler olması nedeniyle kişisel veri olduklarına karar vermiştir.

Veri işleme

Kişisel veri işleme envanterindeki kayıtlar 25 Mayıs 2018 – 28 Temmuz 2020 tarihleri arasındaki dönemde TikTok Inc.’nin diğerlerinin yanı sıra, kullanıcı verilerini aldığını, işlediğini ve yaydığını göstermektedir. Bu da GDPR md. 4(2) anlamında bir veri işleme faaliyetidir. Bu nedenle GDPR md. 2(1) bu veri işleme faaliyetine uygulanacaktır.

Veri Sorumlusu

TikTok, TikTok Inc’nin kontrolünün 29 Temmuz 2020 tarihi itibariyle TikTok İrlanda ve TikTok UK’ye geçtiğini belirtmiştir.

Kişisel veri envanteri ve TikTok tarafından sunulan 20 Mayıs 2020 tarihli yazılı görüş açısından bakıldığında 25 Mayıs 2018 – 28 Temmuz 2020 tarihleri arasındaki dönem için Kaliforniya’da kurulu TikTok Inc’nin işlenecek verilere ve veri işleme amaçlarına karar verdiği anlaşılmaktadır, bu nedenle d belirtilen tarihler arasındaki veri işleme faaliyetleri yönünden TikTok Inc. Veri sorumlusu olarak değerlendirilmiştir.

Şeffaflık ve Bilgi Sağlama Yükümlülüğü

Şeffaflık, Avrupa Birliği Temel Haklar Şartı’nın 8’inci maddesinden doğan kişisel verilerin dürüst bir şekilde işlenmesi ilkesinin bir ifadesidir ve hukuka uygunluk ve dürüstlük ile birlikte kişisel veri işlerken dikkate alınması gereken temel ilkelerden bir tanesidir.

GDPR 60 No’lu gerekçeye göre, adil ve şeffaf veri işleme ilkeleri, ilgili kişinin veri işleme faaliyetinin varlığı ve amaçları konusunda bilgilendirilmesini gerektirir. GDPR 39 No’lu gerekçe de buna ek olarak, şeffaflık ilkesinin kişisel veri işleme ile ilgili herhangi bir bilgi ya da iletişimin kolayca erişilebilir, anlaması kolay olması ve kullanılan dilin sade olması gerektiğini ifade etmektedir.

2016/679 Sayılı Tüzüğe Göre Şeffaflık Rehberine (“Şeffaflık Rehberi”) göre şeffaf ve adil işleme prensibinin temel unsurlarından birisi de ilgili kişilerin işlemenin kapsam ve sonuçlarının ne olduğunu önceden belirleyebilmesi ile kişisel verilerinin işlenmesi ve kullanılması hakkında daha sonra sürpriz bir durumla karşılaşmamasıdır.

İlgili kişilerin aydınlatılmasına ilişkin pratik bilgiler GDPR’ın 12 ve 15’inci maddeleri arasında detaylandırılmıştır. GDPR Md. 12’ye göre veri sorumluları, işleme faaliyeti ile ilgili her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak ilgili kişiye sağlamak için gerekli tedbirleri alır, özellikle bir çocuğa sağlanacak bilgi söz konusu olduğunda bu duruma dikkat edilmelidir.

Şeffaflık Rehberi’ne göre “anlaşılır” olma öğesi, hedef kitlenin ortalama bir üyesi dikkate alınarak tanımlanmıştır. Makul bir veri sorumlusu, haklarında bilgi toplanan insanlar hakkında bilgi sahibi olacaktır ve bu bilgiyi onların neyi kolayca anlayabileceklerini belirlemede kullanabilir. Örneğin çalışanların kişisel verisini toplayan bir veri sorumlusunun, çocukların kişisel verisini toplayan bir veri sorumlusuna göre anlama düzeyi daha yüksek bir topluluğa sahip olduğu çıkarımını yapılabilir.

“Açık ve sade dil” kavramına göre, ilgili kişiye sağlanan bilginin çok fazla yasal, teknik veya uzmanlık gerektiren bir dile ya da terminolojiye sahip olmaması gerekir. Söz konusu bilgi bir ya da daha fazla dile tercüme edildiğinde, veri sorumlusu yapılan tercümenin doğru, cümle ve sözcük diziliminin anlamlı olduğundan emin olmalıdır ki tercüme edilen metnin deşifre edilmesi yahut yeniden yorumlanması gerekmeksin. Bir ya da daha fazla dile çeviri yapılması, veri sorumlusunun bu dilleri konuşan ilgili kişileri hedeflemesi halinde gerekir.

Çocukların aydınlatılmasına ilişkin olarak GDPR 58 No’lu gerekçe, “çocuğa sağlanan özel koruma göz önüne alınarak, bir çocuğa ilişkin verinin işlenmesi söz konusu olduğunda, sağlanan her türlü bilgi ve iletişimin çocuğun kolayca anlayabileceği kadar sade ve açık olması gerektiğini” vurgulamaktadır.

Şeffaflık Rehberi ayrıca, çocuklar ve diğer savunmasız gruplara bilgi verilirken sade bir dil kullanma gereksinimine ilişkin özen yükümlülüğüne de ayrı bir önem vermektedir. Örneğin, çocukları hedefleyen yahut ürün/hizmetlerinden çocukların yararlanacağını bilen veya bilmesi gereken bir veri sorumlusu kullandığı kelimelerin, tonun ve dili kullanma biçiminin çocuklara uygun olduğundan ve çocuklarda karşılık bulduğundan emin olmalıdır.

TikTok’un bakış açısına göre, TikTok aldığı çeşitli önlemlerle bu standartları sağlamaktadır ve AP’nin yalnızca Hizmet koşulları ve Gizlilik Politikası’na odaklanması hatalıdır. Bu bağlamda TikTok, uygulamada önlem olarak pop-up bildirimlerinin ve gizlilik ve koruma ayarlarının yer aldığını, Yardım Merkezi ve Koruma Merkezlerinin bulunduğunu, Temmuz 2020’de Gizlilik Politikasının Felemenkçe özetinin halka açık şekilde sunulduğunu belirtmiştir. İkinci olarak TikTok, 2011 yılından bu yana Hollandalı kullanıcıların İngilizce yeterliliklerinin “Education First English Proficiency Index” e göre dünyada ilk üç sırada olduğunu belirterek GDPR md. 12’nin ihlal edilmediğini öne sürmüştür. Son olarak TikTok’a göre soruşturma raporu, TikTok Gizlilik Politikası’nda çocuklara yönelik olarak açık ve sade bir dil kullanılmadığı iddiasını ispat edememiştir.

AP ise çocuklar söz konusu olduğunda veri sorumlusunun ek bir sorumluluğa sahip olduğu değerlendirmesini yapmıştır. Anlaşılabilir olma kriteri, başka bir dil konuşan ilgili kişileri hedefleyen veri sorumlusunun, bu ilgili kişilere en azından bir çeviri sunmasını gerektirir. Bu durumda çocukların İngilizce düzeyinin iyi olduğu varsayımında bulunulmasının mümkün olmadığını belirtmiştir. Felemenkçe konuşan çocuklara Felemenkçe yerine İngilizce bilgi verilmesi GDPR’ın 12’inci maddesinin ihlal edilmesine yol açmıştır.

TikTok tarafında kullanılan pop-upların şeffaflığa katkı sağladığının inkâr edilemeyeceğini belirten AP, bu önlemin Gizlilik Politikası’nın anlaşılır bir şekilde hazırlanmadığı gerçeğini değiştirmeyeceğinin ve buna bir alternatif olamayacağının altını çizmiştir. Zira bu pop-up’lar, Gizlilik Politikası’nın yerine geçmemekte, yalnızca kullanıcıları paylaşılan içeriğin herkes tarafından görülebileceği konusunda ilgili kişileri bilgilendirmekte ancak bir veri sorumlusunun GDPR md. 13’e göre sağlamakla yükümlü olduğu bilgileri ihtiva etmemektedir.

Diğer yandan TikTok’un bahsettiği Yardım Merkezi çocuklara destek sağlamamaktadır, çocuklar aktif bir şekilde arama yaparak aradıkları bilgiyi kendileri bulmak zorundadırlar. Bu da -TikTok’un kendisinin de kabul ettiği gibi- şeffaflık ilkesinin kritik bir unsuru olan çocukların zamanında bilgilendirilmemesi riskini doğurmaktadır. Dahası bu da GDPR md. 13 kapsamında bilgi sağlama yükümlülüğünün yerine geçmez.

29 Temmuz 2020 tarihi itibariyle TikTok, Gizlilik Politikası’nı Felemenk kullanıcılara -ve ayrıca 16 yaşından küçük Felemenk çocuklara- Felemenkçe sunmaktadır. Ayrıca Felemenk çocuklar için uygun bir dil ve şekilde hazırlanmış ayrı bir belge de sunmaktadır. Bu iki önlem, GDPR md 12 gereğince TikTok’un Felemenkçe konuşan çocuklara anlayabilecekleri bir dilde bilgilendirme yapma yükümlülüğüne uyduğunu göstermektedir.

Ceza

Cezalar Hakkındaki İdari Kurallar’ın 7(a) maddesinde yer alan 225.000 Euro ila 750.000 Avro para cezası aralığına göre, ihlalin uzunluğu ve ağırlığı da gözetilerek TikTok’a 750.000 Avro ceza verilmesine karar verilmiştir.

Sonuç

Soruşturma sonrasında TikTok 16 yaşından küçükler için korumayı arttırmak amacıyla Ocak 2021’in başına kadar bir dizi ek önlemi uygulamaya koyacağını açıklamıştır. Bunlardan bazıları şöyledir:

16 yaşından küçük kullanıcılar için “gizli hesap” varsayılan olacaktır,
“Hesabınızı başkalarına önerin” özelliği hem mevcut hem de yeni kullanıcılar için varsayılan olarak kapalı olacaktır,
Videolara yorum yapma seçeneği, tüm mevcut ve yeni kullanıcılar için varsayılan olarak ‘Yalnızca arkadaşlar’ olarak ayarlanacaktır,
Bazı özellikler 16 yaş altı için kapatılacaktır,
Video indirmelerine yalnızca 16 yaş ve üstü kullanıcılar tarafından oluşturulan videolar için izin verilecektir,
Aile Eşleştirme özelliği, hesabı ebeveynlerin de yönetmesine olanak tanıyan bir seçenekle genişletilecektir,
Kullanıcıların 13 yaşın altında olduğunu düşündükleri hesapları işaretlemesini kolaylaştıran basitleştirilmiş bir uygulama içi raporlama işlevi oluşturulmuştur.

Diğer Ülkelerdeki Durum

AP tarafından TiKTok’a verilen bu ceza, ilk ceza değildi, muhtemelen son da olmayacak. Zira milyonlarca kullanıcıya ulaşan dünya çapındaki uygulama, birçok ülkede kişisel verilere ilişkin yasaların ihlali nedeniyle çeşitli otoritelerin ağına takılıyor.

ABD’de TikTok (eski adıyla Musical.ly), ulusal yasalara aykırı olarak 13 yaşından küçük çocukların ebeveynlerinden rıza almadan isim, e-posta adresi ve diğer kişisel bilgilerini topladığı gerekçesiyle 5.7 Milyon Dolar tutarında para cezası almıştır.[3] Şubat 2019’da TikTok Federal Ticaret Komisyonu ile anlaşmaya vararak bu tutarı ödemeyi kabul etmiştir.

İki sene sonra yine ABD’de TikTok’un ana şirketi ByteDance’e karşı, veri toplamak için rıza almaması nedeniyle, Illinois Gizlilik Yasasını ihlal ettiği gerekçesiyle dava açılmıştır.[4] Şubat 2021’de ByteDance, suçlamaları reddettiklerini ancak dava süreci ile uğraşmak istemediklerini belirterek davaya taraf olan ABD’li kullanıcılara 92 milyon dolar tazminat ödemeyi kabul etmiştir. Söz konusu veriler yüz ve parmak izi taraması da dahil olmak üzere biyometrik verileri içermektedir. Illinois eyaleti, biyometrik verilerin izinsiz toplanmasına ilişkin bireysel davalarda tazminat hakkı tanıyan bir Gizlilik Yasasına sahip tek eyalettir.[5]

15 Temmuz 2020 TikTok, Güney Kore İletişim Komisyonu (KCC) tarafından, 14 yaşından küçük çocukların yasal temsilcilerinin izni olmadan kişisel verilerinin toplandığı, ulusal yasaların ihlal edilerek 6000’den fazla kaydın toplandığı ve yurtdışına aktarıldığı gerekçeleriyle, şirketin yıllık gelirinin yaklaşık %3’ü olan 186 milyon won (123.000 £) tutarında para cezasına çarptırılmıştır.[6]

İngiltere’de ise 2021’in Nisan ayında, İngiltere Çocuk Komisyonu’nun eski üyesi Anne Longfield tarafından, TikTok’un çocukların telefon numarası, konumları, videoları ve biyometrik verilerinin yeteri kadar uyarı yapılmaksızın ve şeffaflık ilkesine aykırı olarak toplandığı, verilerin kullanımı hakkında çocukların ve ebeveynlerinin bilgilendirilmediği gerekçeleriyle dava açılmıştır.[7] Longfield, 25 Mayıs tarihinden itibaren TikTok’u kullanan tüm çocukların kişisel verilerinin bilinmeyen üçüncü kişiler yararına hukuk aykırı şekilde toplanmış olabileceğini belirtmiştir.[8]

Kişisel verilerin korunması konusunda kötü bir geçmişe sahip olan ByteDance, hükümet yetkililerinin şirketi veri güvenliği hakkında uyarmasının ardından, 2021 yılında hisselerin halka arzını süresiz şekilde askıya almıştır.[9]

Türkiye’deki Durum

GDPR m. 8’e göre “Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur.” Aynı maddede üye devletlere bu yaş sınırını 13’e kadar indirme hakkı tanınmıştır.

6698 Sayılı Kişisel Verilen Korunması Kanununda ise çocukların verilerinin işlenmesi hakkında özel bir düzenleme ya da yaş aralığı öngörülmemiştir. Bilindiği üzere BM Çocuk Hakları Sözleşmesi ve Türk Medeni Kanunundaki ehliyete ilişkin hükümlere dayanılarak 18 yaşını doldurmamış kişiler çocuk olarak kabul edilecektir. Çocuklar yönünden çocuğun aydınlatılmasının yeterli olup olmayacağı yahut kişisel verilerin işlenmesine kimin rıza göstereceği, çocuğun ayırt etme gücünün olup olmamasının yahut örneğin 18 yaş doldurulmamış olmasına rağmen evlenme ile yahut mahkeme kararıyla ergin kılınmanın sonuca etkisinin nasıl olacağı hususlarına yapılacak bir düzenlemede yer verilmesi bu konudaki soru işaretlerinin ortadan kalkmasını sağlayacaktır.

Öte yandan 12 Ekim 2020 tarihi itibariyle TikTok’un Türkiye’deki kullanıcı sayısının 32.7 Milyon olduğu basına yansıyan haberlerde belirtildi[10]. Ayrıca TikTok, ülkemizde en çok indirilen uygulamalar sıralamasında birinci sırada yer alıyor[11], dünya sıralamasında ise ikinci sırada yer alıyoruz[12]. Birçok ülkede TikTok aleyhinde soruşturmalar yürütülmekte iken ülkemizde böyle bir soruşturma olup olmadığı konusunda kamuoyuna yansımış bir bilgi bulunmamaktadır. Ancak örneğin aydınlatma metninin çocuklara özel bir dille hazırlandığını söylemek çok mümkün görünmemektedir, öte yandan yardım merkezi İngilizce dilinde olup erişim hakkını kullanmak için düzenlenmiş olan sayfada Türkçe dil seçeneği bulunmamaktadır. Dolayısıyla söz konusu uygulamalar dikkate alındığında özellikle çocukların kişisel verileri yönünden geniş çaplı bir soruşturma yapılması gerekliliği ortaya çıkmaktadır.

[1] https://www.trthaber.com/haber/dunya/2020de-en-cok-indirilen-uygulama-tiktok-oldu-601157.html (Erişim Tarihi: 12.08.2021); https://www.sozcu.com.tr/2021/teknoloji/tiktok-facebookun-tahtini-ele-gecirdi-6583020/ (Erişim Tarihi: 12.08.2021).

[2] https://autoriteitpersoonsgegevens.nl/en/news/tiktok-fined-violating-children%E2%80%99s-privacy (Erişim Tarihi: 10.08.2021);

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/decision_to_impose_a_fine_on_tiktok.pdf (Erişim Tarihi: 12.08.2021).

[3] https://www.washingtonpost.com/technology/2019/02/27/us-government-fined-app-now-known-tiktok-million-illegally-collecting-childrens-data/ (Erişim Tarihi: 10.08.2021)

[4] https://apnews.com/article/technology-lawsuits-biometrics-illinois-00be8815636b8f69d2742637bc1c4f1f (Erişim Tarihi: 10.08.2021)

[5] https://apnews.com/article/technology-lawsuits-biometrics-illinois-00be8815636b8f69d2742637bc1c4f1f (Erişim Tarihi: 10.08.2021)

[6] https://www.bbc.com/news/technology-53418077, (Erişim Tarihi: 10.08.2021)

[7] https://www.bbc.com/turkce/haberler-dunya-56829390 (Erişim Tarihi: 10.08.2021)

[8] https://www.reuters.com/technology/tiktok-faces-claim-billions-london-child-privacy-lawsuit-2021-04-20/ (Erişim Tarihi: 10.08.2021)

[9] https://www.wsj.com/articles/bytedance-shelvedipo-intentions-after-chinese-regulators-warned-about-data-security-11626078000 (Erişim Tarihi: 10.08.2021)

[10] https://www.ulusal.com.tr/gundem/rtuk-baskan-yardimcisi-ibrahim-uslu-turkiye-de-tiktok-kullanici-sayisi-327-milyon-h272870.html#:~:text=%C4%B0brahim%20Uslu’nun%20payla%C5%9Ft%C4%B1%C4%9F%C4%B1%20verileri,TikTok%20kullan%C4%B1c%C4%B1%20say%C4%B1s%C4%B1%3A%2032.7%20milyon. (Erişim Tarihi: 12.08.2021)

[11] https://journo.com.tr/turkiye-mobil-uygulama-2021-veriler . (Erişim Tarihi: 12.08.2021).