BİRLEŞİK KRALLIK YÜKSEK MAHKEMESİ’NDE TOPLULUK DAVASI ŞEKLİNDE GÖRÜLEN GİZLİLİK DAVASI: SMO vs. TIKTOK

Hazırlayan: Zülküf KARADAĞ

DAVANIN TARAFLARI

Davacı, kişisel verileri ihlal edilen 12 yaşındaki bir kız çocuğu, davalı ise ByteDance tarafından 2016 yılında piyasaya sürülmüş video paylaşım platformu olan TikTok.

SÜREÇ

TikTok’un çocukların kişisel verilerini hukuka aykırı şekilde işlediği iddiasına ilişkin dava (SMO vs. TikTok Judgment 301220, Case No: QB-2020-004576), Birleşik Krallık Yüksek Mahkemesi’nin (“Mahkeme”) onayı ile görülmeye devam edilecek. Dava 2020 yılında 12 yaşındaki bir kız çocuğu tarafından açılmış olup, kamuoyunun dikkatini çeken davada Mahkeme, yaşça küçük olması ve siber zorbalığa maruz kalmaması adına davacıya anonimlik/gizlilik sağlamıştı.

Uygulamayı kullanan milyonlarca çocuğu ilgilendiren davada TikTok, verileri hâlihazırda hukuka aykırı olarak işlemeye devam ediyor olabilir. Davanın, davacı lehine sonuçlandığı senaryoda TikTok milyarlarca dolar tazmin yükümlülüğü altında kalacak.

Davaya ilişkin TikTok yetkilisi aşağıdaki savunmaları ileri sürüyor:

·         Yerleşik/uygulanabilir gizlilik ve güvenlik politikalarına sahip oldukları,

·         Gizlilik ve güvenliği sağlamak için son teknolojiyi kullandıkları,

·         Bilhassa çocuk ve genç yetişkin kullanıcılar için sağlanan güvenlik önlemlerini (kullanıcı yaşı doğrulaması vb.) aldıkları.

Dava arkadaşlarından İngiltere’nin Çocuk Komiseri (The Children’s Commisioner for England)[1] yetkilisi Anne Longfield, TikTok’un Birleşik Krallık ve Avrupa Birliği veri koruma hukukuna aykırı davrandığını ve davanın, TikTok’u kullanan 16 yaş altındaki çocuklara daha fazla bir koruma sağlaması gerektiğini ifade ediyor.

Dava, Genel Veri Koruma Tüzüğü (“GVKT”) ve 1998 tarihli Birleşik Krallık Veri Koruma mevzuatı kapsamında görülüyor.

Longfield’ın davaya ilişkin görüşleri aşağıdaki şekilde:

·         Mahkeme’nin, TikTok’un kuralları ihlal ettiğini kabul etmesi veri koruma hukuku için önemli bir kazanımdır.

·         Sıklıkla çocukların mahrem verilerini işleyen TikTok’un veri toplama uygulama ve yapısı şeffaflıktan oldukça uzaktır.

·         Veri koruma hukukunun temel ilkelerinden biri olan kişisel verilerin hangi amaçla ve neden toplandığı hususları belirsizdir.

BİRLEŞİK KRALLIK, ÇOCUK MAHREMİYETİ VE TEKNOLOJİ ŞİRKETLERİ

Teknolojinin gelişmesiyle birlikte çocukların kişisel verilerinin hukuka aykırı şekilde işlenmesi, sosyal medya platformları aracılığı ile çok daha kolay bir hale geldi. Bu nedenle de çocuk mahremiyeti odaklı çalışmalarda son yıllarda oldukça arttı. Bu bağlamda özellikle <Birleşik Krallıktaki çocuklar ve teknoloji> eksenindeki kurallara değinmekte yarar görüyoruz.

 a)         Yaşa Uygun Tasarım Kanunu

Dava süreci devam ederken 2 Eylül 2021 tarihinde yürürlüğe giren Yaşa Uygun Tasarım Kanunu’na[2] (The Age Appropriate Design Code) (“Kanun”) göre, doğrudan çocuklara yönelik olan ya da çocukların erişebilmesi muhtemel dijital hizmet (sosyal medya, çevrimiçi oyun, eğitim vb.) sunanlar, gizlilik ve güvenliği önceliklendirmek durumundalar. İçeriği ve amacı itibarı ile GVKT’de yer alan “tasarımda gizlilik (privacy by design)” ve “varsayılan olarak gizlilik (privacy by default)” ilkelerinin de bir görünümü olarak düşünülebilecek Kanun’da öne çıkan 15 başlık şu şekildedir:

1-      Çocukların üstün menfaati: Çocukların kullanabileceği muhtemel bir dijital hizmet geliştirildiğinde, geliştiriciler, bu durumu önceliklendirmelidir.

2-      Kişisel Veri Koruma Etki Değerlendirmesi: Çocukların haklarını ve özgürlüklerini sağlamak ve bu kapsamda doğabilecek riski en aza indirmek için kişisel veri koruma etki değerlendirmesi yapılmalıdır.

3-      Yaşa Uygun Uygulama: Risk temelli bir yaklaşım ile kullanıcı yaşını ayırt edebilen bir sistem dizayn edilmelidir. Bu durumda ya kuralları tüm kullanıcılara uygulamak ya da yaşı ayırt edildiği takdirde çocuklara uygulamak durumunda olunmalıdır.

4-      Şeffaflık: Gizlilik politikası, şartlar ve kurallar, topluluk standartları gibi hukuki metinler düz, sade ve anlaşılır bir dille kaleme alınmış olmalı ve çocukların anlayacağı şekilde dizayn edilmelidir. Gerekirse verilerin nasıl işleneceği örnekler yolu ile aktarılmalıdır.

5-      Kişisel Verilerin Zararlı Kullanımı: Çocukların ruhsal ve fiziksel sağlığına zarar getirecek yahut ilgili kurallara uymama şeklindeki bir yaklaşım benimsenerek kişisel veriler kullanılamaz.

6-      Politikalar ve Topluluk Standartları: Geliştiricilerin yayımladığı şartlar ve kurallar ile politikaların, topluluk standartlarını sürdürmeleri gerekir. Gizlilik politikası, davranış kuralları (hizmet içi), yaş kısıtlamaları ve içerik politikası gibi metinleri içermelidir.

7-      Varsayılan Ayarlar: Varsayılan ayarlar, “yüksek gizlilik” şeklinde kurgulanmalıdır.

8-      Veri Minimizasyonu: Hizmet sunulurken çocuklardan toplanabilecek en az sayıda kişisel veri toplanmalıdır.

9-      Veri Paylaşımı: Zorlayıcı bir neden olmadıkça çocukların kişisel verileri paylaşılmamalıdır.

10-  Konum: Konum bilgisi kapalı şekilde ayarlı olarak gelmelidir. Konum bilgisi açık olduğu takdirde ise, bu durum açıkça belirtilmelidir. Bunlara ek olarak, diğer kullanıcıların bir çocuğun konumunu görme seçeneği kesinlikle kapalı şekilde gelmelidir.

11-  Ebeveyn Takibi: Ebeveyn kontrolü sağlandığında ilgili durum hizmet kullanılırken çocuğa açık bir şekilde izah edilmelidir.

12-  Profilleme: Profilleme seçeneği kapalı halde gelmelidir. Yalnızca yeterli ve uygun önlemler var ise profillemeye izin verilebilir. Aksi takdirde, çocukların, her an kendileri için uygun olmayan içeriklere maruz kalma ihtimali mevcuttur.

13-  Dürtme Teknikleri: Çocukları gereksiz bir şekilde kişisel verilerini paylaşmaya teşvik edici teknikler tavsiye edilemez.

14-  Bağlı oyuncaklar ve cihazlar: Bağlantılı bir şekilde oyuncak, cihaz vb. araçlar sağlanıyorsa onlar da kurallara uygun bir şekilde olmalıdır.

15-  Çevrimiçi Araçlar: Çocukların kişisel verilerini korumak ve şikâyetlerini raporlamak için, etkili ve erişilebilir çevrimiçi araçlar sağlanmalıdır.

b)         Çevrimiçi Güvenlik Kanunun Tasarısı

İnternet güvenliğini geliştirmek için ilk olarak 12 Mayıs 2021’de taslak olarak yayımlanan Çevrimiçi Güvenlik Kanunu Tasarı[3] (Online Safety Bill) (“Tasarı”), 17 Mart 2022 tarihinde Birleşik Krallık Parlamentosu’nda görüşüldü. Birleşik Krallık Hukuku’na göre bir taslağın kanunlaşması aşamalarından biri de bu Parlamento aşaması.

Güvenlik odaklı bir kurallar bütünü olarak öne çıkan Tasarı’ya göre çevrimiçi platformlar (örn. TikTok) zararlı içeriklere karşı özen yükümlülüğünü yerine getirmezse 18 milyon sterlin ya da yıllık cirosunun yüzde 10’una kadar idari para cezası ile cezalandırılabilecekler.

Kullanıcı tarafından üretilen içerikler için bir sorumluluk mekanizması düzenleyen Tasarı kamuoyunca yeni bir eşiğe geçişin sinyalleri olarak yorumlanıyor. Tasarı’nın amaçlarından biri olarak teknoloji şirketlerinin yeni çağdaki hesap verebilirliği ve buna bağlı olarak adaletin ön plana çıkartılmasına dikkat çekiliyor.

Ancak bu noktada ilgili Tasarı hakkında aşağıda özetlendiği şekliyle bazı endişeler mevcut:

a)         İfade özgürlüğüne zarar verebilecek olması (sansürlemeye teşvik edici Tasarı)

Tasarı hazırlandığı gibi uygulanırsa sadece çevrimiçi ortamlarda insanların iletişim kurmasını sağlayan platformlar dahi bu düzenlemeden etkilemektedir. Uygulama alanının çok geniş olması, en temel haklardan biri olan ifade özgürlüğünü zedeleyebilecek nitelikte görülüyor.

İlgili siteye erişimi engelleme yetkisi dahi veren Tasarı, otoritelerce sansürcü bir zihniyetin ürünü olmakla suçlanıyor.

Zararlı içerikleri kaldırma ya da sınırlandırma gibi önlemleri almayan dijital hizmet sağlayıcıların ise ciddi bir şekilde cezalandırılmaları öngörülüyor. Ayrıca düzenlenen yükümlülükler arasında, çocukların cinsel istismarına yönelik bir içerik ile karşılaşıldığında bu durumu yetkili mercilere derhal bildirmek de bulunuyor.

Tasarı’daki kavramlar açısından da, örneğin “zarar” ya da “demokratik olarak önemli” vb. tanımlamaların belirsiz olduğu ve hangi durumlarda nasıl yorumlanması gerektiği açık olmadığı için yasal çerçevenin de henüz oturmadığı ifade ediliyor.

Tasarı’da düzenlenen kavramlar, anlam bakımından siber zorbalıktan istismara kadar çeşitlilik gösteriyor:

·         Çevrimiçi trolleme,

·         Yasal olmayan içerikleri yayma (çocukların cinsel istismarı vb.),

·         Çocukların görmemesi gereken cinsel bir içerik vb. 

b)         Teknolojik gelişimin önünde ayak bağı olan bir Tasarı

Doğası gereği yükümlülük altında olan dijital hizmet sağlayıcılar, önlemler almak ve takibini sağlamak için aşağıdakilerden oluşan bir operasyon yönetmeliler:

·         Uçtan uca şifreleme sistemi,

·         Tasarım aşamasında gizlilik,

·         Yaş doğrulama sistemi (bilhassa çocuk kullanıcılar için)

·         Veri ihlal bildirimi sistemi.

Daha sürecin en başında, internet ortamına dijital hizmet sağlayanlara belirli sınırlar içinde hareket zorunluluğu yüklenmesi, platformların gözünden bakıldığında çoğu kez platformların çıkarlarına ticari açıdan ters düşüyor.

Dijital, Medya, Kültür ve Spor Bakanlığı ise Tasarı’yı, çocukların güvenliğini sağlayacak, nefret suçunu durduracak ve çevrimiçi platformlarda demokrasiyi sağlayacak bir Tasarı olarak yorumluyor.

Kapsam

Herhangi bir türde “kullanıcıdan kullanıcıya hizmet” sağlayanların (user-to-user services), Tasarı’nın kapsamında olması öngörülüyor. Bu kavramı açıklamak gerekirse bunlar, ilgili dijital hizmetin kullanıcısı tarafından paylaşım yapılabilen ve kullanıcı tarafından üretilen içeriği barındıran dijital hizmet sağlayıcılarıdır. Bu içeriklerin yazılı mesaj, sesli ileti, video, fotoğraf, görseller, müzik gibi her türlü veriyi içermesi mümkündür.

Sorumluluklar

Hizmet sağlayıcılar için Tasarı kapsamında bazı spesifik önlemler öngörülmektedir:

·         Yasal olmayan içeriklerin değerlendirilmesi,

·         İfade özgürlüğü ve gizliliğin sağlanması,

·         İhlalleri raporlama mekanizması sunulması ve tazmin sağlanması,

·         Kayıt tutulması ve gerektiğinde kontrol edilmesi,

·         Çocukların kişisel verilerini koruma etki değerlendirmesi yapılması,

·         Çocukların çevrimiçi platformlarda güvenliğinin sağlaması,

·         Yetişkinlerin verilerini koruma etki değerlendirmesi yapılması,

·         Yetişkinlerin çevrimiçi platformlarda güvenliğinin sağlaması,

·         Demokratik önemi olan içeriklerin korunması,

·         Gazetecilik/Kamuyu ilgilendiren içeriklerin korunması.

 Kaynaklar ve ileri okumalar için:

1) https://techcrunch.com/2022/03/08/tiktok-child-privacy-suit-proceeds/?guccounter=1

2) https://www.judiciary.uk/judgments/smo-v-tiktok/

3) https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services/

4)https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-uk-gdpr/

5) https://publications.parliament.uk/pa/bills/cbill/58-02/0285/210285.pdf

6)https://www.gov.uk/government/publications/online-safety-bill-supporting-documents/online-safety-bill-factsheet#what-the-bill-means-for-users