Kişisel Verileri Koruma Kurulu Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyici”nin etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlali tespit etti.
Kişisel Verileri Koruma Kurumu, Facebook temsilcisi tarafından Kuruma gönderilen 14.10.2018 tarihli e-posta’da “Başkasının Gözünden Gör” ihlaline ilişkin bilgi verildi. Bilgilendirmenin takip eden hafta içinde yazılı olarak Kişisel Verileri Koruma Kuruluna arz edileceği ifade edilmesine rağmen, Facebook tarafından Kurul’a herhangi bir bildirim yapılmaması üzerine kurulun resen inceleme yapma kararı aldığı belirtildi.
Yüzbinlerce kişi veri ihlalinden etkilendi
Kurul, ihlalden Facebook kullanıcılarına ait ad, cinsiyet, doğum günü, ilişki durumu, eğitim geçmişi, din bilgisi, memleket, konum; Facebook’ta son zamanlarda yapılan aramalar; kullanıcının takip ettiği 500’e kadar başlıca hesaplar gibi kişisel verilerin etkilendiğini tespit etti. Ayrıca Facebook’u Türkçe olarak kullanan 280.959 kullanıcının söz konusu veri ihlalinden etkilendiğini belirtti.
Yaşanan veri ihlalinin oluşmaması için Kanunda öngörülen gerekli idari ve teknik tedbirlerin alınmadığını belirlendi. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği gerekçesiyle Facebook’u 1 milyon 150 bin lira idari para cezasına çarptırdı. Ayrıca, Kanunda yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” hükmü doğrultusunda, veri ihlali nedeniyle Kuruma gerekli bildirimde bulunulmaması nedeniyle Facebook’a 450 bin lira idari para cezası verilmesini de kararlaştırıldı. Facebook’a toplam 1.600.000 TL idari para cezası uygulanmasına karar verdi.
Kurul daha önce de veri ihlali sebebiyle Facebook’a 1 milyon 650 bin liralık idari para cezası vermişti.