ÖZET
Bu makalede; sosyal medya platformlarının topladığı kişisel verilerin stratejik bir kaynak hâline gelmesi ile bu verilerin güvenliği, işlenme biçimi ve sonucunda ortaya çıkan önemli hukuki, teknik ve etik sorumluluklarından bahsedilecektir.
Sosyal medya platformları, kullanıcıların dijital yaşantılarının büyük bir kısmına nüfuz ederken; kullanıcı verileri giderek daha çeşitli ve kapsamlı biçimde toplanmaktadır. Bu veriler yalnızca kullanıcıların doğrudan sağladıkları bilgilerle sınırlı kalmayıp platform içi ve dışı davranışlar, cihaz bilgileri gibi unsurları da kapsamaktadır.
I. GİRİŞ
Sosyal medya platformları, kullanıcıların dijital yaşantılarının büyük bir kısmına nüfuz ederken; kullanıcı verileri giderek daha çeşitli ve kapsamlı biçimde toplanmaktadır. Bu veriler yalnızca kullanıcıların doğrudan sağladıkları bilgilerle sınırlı kalmayıp platform içi ve dışı davranışlar, cihaz bilgileri gibi unsurları da kapsamaktadır.
Kişisel verilerin işlenmesi; bireylerin kimlik bilgileri, alışkanlıkları, tercihleri ve diğer özel bilgilerinin dijital ortamlarda toplanması, saklanması ve korunmasını kapsayan geniş çaplı bir faaliyettir. Günümüzde dijitalleşmenin hız kazanması ve internet kullanımının yaygınlaşmasıyla birlikte, kişisel verilerin güvenli bir şekilde işlenmesi hem bireylerin mahremiyetinin korunması hem de kurumların yasal yükümlülüklerini yerine getirmesi açısından kritik bir önem kazanmıştır. Kişisel verilerin işlenmesi; veri sahiplerinin haklarının gözetilerek, bilgilerin kötüye kullanımının önlenmesi, veri bütünlüğünün sağlanması ve hukuki düzenlemelere uyulması amacıyla gerekli tüm faaliyetlerin planlanması ve uygulanmasını içerir. Özellikle sosyal medya, e-ticaret ve mobil uygulamaların yaygınlaşmasıyla birlikte veri çeşitliliği ve hacmi artarken; veri yönetiminin karmaşıklığı ve önemi de paralel olarak yükselmektedir. Geçmişte veri yönetimi daha çok manuel yöntemlerle sınırlı kalırken, günümüzde gelişmiş teknolojiler ve profesyonel yaklaşımlar sayesinde bu süreçler daha sistematik ve etkin bir şekilde yürütülmekte ancak kişisel verilerin dijital ortamda sürekli artan hacmi ve karmaşıklığı; veri sızıntısı ve kötüye kullanım risklerini de beraberinde getirmektedir. Bu nedenle kişisel verilerin korunmasına yönelik tedbirlerin sürekli güncellenmesi ve güçlendirilmesi büyük önem arz etmektedir.
II. KULLANICI VERİLERİ
A. Sosyal Medya Platformları Tarafından Toplanan Veri Türleri
Kişisel veri, doktrinde şu şekilde tanımlanmıştır: "Kişisel veri, verinin işlenmesinde kullanılan teknolojik araç veya yöntem dikkate alınmaksızın metin, ses, resim, görüntü gibi bilgiden türetilmiş her türlü üründür"
1. Buna paralel olarak, sosyal medya platformlarının, kullanıcıların dijital yaşamlarının neredeyse her anına nüfuz etmesiyle birlikte, toplanan veri türleri de zamanla çeşitlenmiştir. Bu veriler, yalnızca kullanıcıların platforma kendi rızalarıyla doğrudan girdiği bilgilerle sınırlı kalmamakta; aynı zamanda platform içi ve dışı davranışlarından, hatta kullandıkları cihazların teknik özelliklerinden bile elde edilmektedir.
Öncelikle, kullanıcıların hesap oluşturma veya profillerini düzenleme aşamasında sağladığı kişisel kimlik verileri söz konusudur. Bu kategoriye ad-soyad, e-posta adresi, doğum tarihi, cinsiyet, telefon numarası gibi kimlik tespiti için zorunlu olan bilgiler girer. Ancak veri toplama bu noktada durmaz. Platformlar, kullanıcıların içerik ve etkileşim verilerini de titizlikle kaydeder. Bir kullanıcının hangi gönderileri beğendiği, hangi yorumları yaptığı, hangi videoları izlediği, kimleri takip ettiği, hangi gruplara katıldığı ve kimlerle mesajlaştığı gibi bilgiler, kullanıcının ilgi alanlarına, düşünce yapısına ve sosyal çevresine dair bir profil oluşturulmasını sağlar. Dahası platformlar, cihaz ve teknik veriler ile kullanıcıların fiziksel dünyadaki hareketlerini de izleyebilir. IP adresi, coğrafi konum bilgisi, kullanılan cihazın türü ve işletim sistemi, platformda geçirilen süre ve hatta kullanılan tarayıcı bilgileri izlenir ve kaydedilir. Bu veriler, hizmet güvenliğinin sağlanmasının yanı sıra hedefli reklamcılık ve davranışsal analizler için önem taşır. Özetle, sosyal medya platformları, kullanıcılarına "ücretsiz" hizmet sunarken, aslında onların dijital kimliklerini oluşturan ve işlenebilir birer değere dönüşen bu verileri toplamaktadır.
B. Kullanıcı Verilerini Toplama Yöntemleri
Sosyal medya platformları, yukarıda bahsedilen geniş veri yelpazesini toplamak için çeşitli yöntemler kullanır. Bu yöntemlerin en basiti, kullanıcıların hesap oluşturma veya profil güncelleme sırasında doğrudan veri girişi yapmasıdır. Ancak bu sadece buz dağının görünen kısmıdır. Platformlar, kullanıcıların platformda gerçekleştirdiği her eylemi izleyerek davranışsal verileri sürekli olarak toplar ve kaydeder. Bir gönderiye yapılan "beğeni" veya bir videonun izlenme süresi gibi basit görünen eylemler bile, kullanıcıların ilgi alanları hakkında ipuçları sunar. Bununla birlikte, veri toplama faaliyetleri sadece platformun kendi ekosistemiyle sınırlı değildir. Çerezler (cookies) ve piksel etiketleri gibi takip teknolojileri sayesinde, kullanıcılar platformdan çıktıktan sonra bile ziyaret ettikleri diğer web siteleri veya online mağazalar hakkında bilgi toplanabilir. Bu veriler; kullanıcıların online alışveriş alışkanlıklarını, okuduğu haberleri ve hatta politik tercihlerini anlamak için bile kullanılır. Ayrıca kullanıcıların platform hesaplarını kullanarak diğer üçüncü taraf uygulamalara veya web sitelerine giriş yapması, bu platformlar arasında veri paylaşımına olanak tanır. Örneğin, bir oyun uygulamasının sosyal medya hesabına erişim izni istemesi, kişisel bilgilerin ve arkadaş listeni o uygulama ile paylaşmak anlamına gelebilir. Son olarak, mobil cihazların popülerliği, cihaz izinleri aracılığıyla veri toplamayı daha da kolaylaştırmıştır. Bir uygulama, kullanıcıların onayıyla cihazın mikrofonuna, kamerasına, konumuna veya kişi listesine erişebilir; bu da teorik olarak platforma, kullanıcıların çevresindeki sesleri dinleme veya fiziksel konumunu takip etme gibi imkanlar verir. Tüm bu yöntemler, sosyal medya platformlarının kullanıcı verilerini sürekli, kapsamlı ve çok kanallı bir şekilde toplamasını sağlar.
III. VERİ SIZINTISI KAVRAMI
A. Genel Olarak
Günümüzün dijital çağında veri sızıntısı, bireysel ve kurumsal düzeyde en büyük risklerden biri olarak karşımıza çıkmaktadır. Genel anlamda veri sızıntısı, bir kuruluşun, sorumlu olduğu kişisel verileri, yetkisiz erişimler, kasıtlı ve kötü niyetli saldırılar, sistem zafiyetleri veya insan hatası gibi çeşitli nedenlerle üçüncü taraflara ifşa etmesi durumudur.
Veri sızıntılarının, sadece teknik bir güvenlik açığının sonucu olmadığını, aynı zamanda platformların veri yönetimi politikalarındaki eksikliklerin, yetersiz denetim mekanizmalarının ve etik dışı uygulamaların bir yansıması olduğunu vurgulamak gerekir. Bir veri sızıntısı meydana geldiğinde, kullanıcıların sadece e-posta adresleri veya şifreleri değil; aynı zamanda coğrafi konum bilgileri, özel mesajları, finansal verileri ve hatta sağlık bilgileri gibi en hassas kişisel verileri risk altına girebilir. Bu durum, bireylerin kimlik hırsızlığına, dolandırıcılığa, şantaja ve mahremiyet ihlallerine maruz kalmasına zemin hazırlayabilir. Öte yandan, veri sızıntısı yaşayan şirketler de büyük maddi kayıplar yaşayabilir, hukuki yaptırımlara maruz kalabilir ve en önemlisi, kullanıcılarının güvenini telafisi güç bir şekilde kaybedebilir. Bu nedenle, veri sızıntısı kavramı, salt bir teknolojik problem değil; hukuki, etik, sosyal ve ekonomik boyutları olan çok katmanlı bir krizi temsil etmektedir.
B. Örnek Vakalar
Sosyal medya platformları; yalnızca bireyler arasında iletişim kurmanın bir aracı olmanın ötesinde, günümüzde devletler, siyasi partiler ve kurumlar için stratejik birer güç unsuru hâline gelmiştir. Doktrinde; "Devlet kurumları ve siyasi parti yetkilileri sosyal medyayı hem seçmenleri ile iletişim kurmak hem de büyük kitlelere hızlı ve kolay yoldan ulaşmak için bir araç olarak kullanmaktadır. Hükümetler ve siyasi partiler, sosyal medyadan veri analizleri yaparak, sonraki seçim dönemi için yararlı stratejiler oluşturmaktadır."
2 şeklinde ifade edilen husus, bugünün dünyasında sıklıkla başvurulan bir yöntemdir. Ancak sosyal medyanın yoğun ve çok boyutlu kullanımı, platformlar üzerinde biriken devasa miktarda verinin ne kadar güvende olduğu sorusunu da beraberinde getirmektedir. Kullanıcıların kimlik bilgilerinden siyasi eğilimlerine, lokasyon verilerinden özel yazışmalarına kadar birçok hassas bilgi, kötü niyetli kişi veya grupların hedefi hâline gelmiştir. Aşağıda yer alan örnekler, dijital dünyanın önde gelen sosyal medya platformlarında yaşanan veri sızıntılarının boyutunu ve olası sonuçlarını gözler önüne sermektedir.
1. Facebook - Cambridge Analytica
Facebook - Cambridge Analytica vakası, veri sızıntısının sadece bir güvenlik ihlali değil, aynı zamanda demokratik süreçleri etkileyebilecek güçlü bir araç olabileceğini göstermesi bakımından önemlidir. 2018 yılında meydana gelen olayda, İngiliz siyasi danışmanlık firması Cambridge Analytica'nın, Facebook üzerinde yer alan bir "kişilik testi" uygulaması aracılığıyla sayısı milyonları bulan kullanıcının verilerine eriştiği tespit edilmiştir. Ancak bu erişim, sadece testi kullanan kullanıcılarla sınırlı kalmamış, aynı zamanda onların arkadaş listelerindeki verileri de toplamıştır
3. Toplanan bu veriler, seçmen davranışlarını anlamak ve manipüle etmek amacıyla ABD başkanlık seçimleri ve Brexit referandumu gibi kritik siyasi kampanyalarda kullanılmıştır. Olayın ortaya çıkması, Facebook'un veri paylaşım politikalarının ne kadar zayıf olduğunu gözler önüne sermiş ve platformun, kullanıcı verilerini koruma konusundaki sorumluluğunun ciddi şekilde sorgulanmasına yol açmıştır.
2. TikTok
Dünya genelinde yüz milyonlarca kullanıcısı bulunan TikTok, veri güvenliği konusundaki şüphelerle sık sık gündeme gelmektedir. Uygulamanın Çin merkezli bir şirket tarafından işletilmesi, ulusal güvenlik ve veri egemenliği tartışmalarını körüklemiştir. 2022 yılında, bir hacker grubunun TikTok'un sunucularına sızdığı ve iki milyardan fazla kullanıcıya ait kişisel bilgileri, platformun kaynak kodlarını ve diğer hassas verileri ele geçirdiği iddia edilmiştir. TikTok, bu iddiaları reddetse de olay, uygulamanın veri güvenliği politikaları ve kullanıcı verilerinin nasıl saklandığına dair soru işaretlerini artırmıştır. Bu tür sızıntılar, özellikle uygulamanın ana kitlesini oluşturan gençlerin hassas verilerinin korunması konusunda büyük endişelere yol açmaktadır.
3. X
Mikroblog platformu X de geçmişte birçok veri sızıntısı ve güvenlik ihlali yaşamıştır. Bu olaylardan en dikkat çekeni, 2022 yılında ortaya çıkan ve iki yüz milyondan fazla kullanıcının kişisel bilgilerinin (telefon numaraları ve e-posta adresleri dahil) bir güvenlik açığı kullanılarak ele geçirilmesi ve yasa dışı forumlarda satışa sunulmasıdır. Siber suçluların, bu açığı kullanarak API (Uygulama Programlama Arayüzü) üzerinden hassas verilere erişim sağladığı tespit edilmiştir. Bu sızıntı, platformun API güvenliği konusundaki zafiyetlerini gözler önüne sermiş ve kullanıcıların, "tweet"lerini paylaştıkları bir platformda bile kişisel iletişim bilgilerinin güvende olmadığı gerçeğini bir kez daha hatırlatmıştır.
IV. SOSYAL MEDYA PLATFORMLARININ HUKUKİ SORUMLULUĞU
A. Türk Hukukundaki Durum
Sosyal medya platformlarının, veri sızıntılarına ilişkin hukuki sorumluluğu, Türk hukukunda başta Türkiye Cumhuriyeti Anayasası
4 ("Anayasa") ve 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu
5 ("KVKK") olmak üzere çeşitli yasal düzenlemelerle belirlenmiştir. Bu kapsamda Anayasa'nın 20. maddesi; "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."
6 şeklindeki hükmü ile kişisel verilerin korunması hakkını anayasal güvence altına almıştır.
KVKK'da sosyal medya platformlarına özgü açık bir tanım yapılmamış ve bu platformlara yönelik özel bir düzenleme getirilmemiş olsa da bu tür platformlar kullanıcılarına ait kişisel verileri işledikleri ölçüde "veri işleyen" veya "veri sorumlusu" sıfatıyla değerlendirilmek durumundadır. Bu nedenle, sosyal medya platformlarının da kişisel verilerin korunmasına ilişkin yükümlülükleri, genel hükümler çerçevesinde ele alınmalı ve bu platformların faaliyetleri KVKK hükümleri kapsamında dikkatle değerlendirilmelidir. Bu yasal çerçeve, platformların kullanıcı verilerini toplama, işleme ve koruma süreçlerinde uyması gereken yükümlülükleri net bir şekilde ortaya koymaktadır. Türk hukuku, kişisel verileri korunması gereken temel bir hak olarak kabul ederek bu verilerin hukuka aykırı şekilde işlenmesini veya sızdırılmasını engellemeyi amaçlar. Bu kapsamda, sosyal medya platformlarının hukuki sorumluluğu hem idari yaptırımları hem de tazminat sorumluluğunu içerecek şekilde geniş bir alana yayılmaktadır.
1. KVKK ve Sosyal Medya Platformları
KVKK, kişisel verilerin korunmasını temel bir hak olarak düzenlemektedir. Günümüzde bireylerin özel hayatlarının gizliliği ve kişisel mahremiyetlerinin korunması, teknolojik gelişmeler ve dijitalleşmenin artmasıyla daha da önemli hale gelmiştir. KVKK, kişisel verilerin işlenmesinde hem gerçek kişilerin haklarını korumayı hem de veri sorumlularının yükümlülüklerini düzenlemeyi amaçlamaktadır.
Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir
7. Bu kapsamda ad-soyad, T.C. kimlik numarası, telefon numarası, e-posta adresi gibi veriler kişisel veri sayılır. Kanun ayrıca; bireylerin ırkı, etnik kökeni, siyasi düşüncesi, dini inancı, sağlık bilgileri gibi daha hassas bilgileri özel nitelikli kişisel veri olarak tanımlamış ve bunlara daha sıkı koruma getirmiştir.
Doktrinde kabul edilen görüş uyarınca; "Kişisel verilerin korunması hukukunda, kişisel verilerin işlenmesi halinde hukuka aykırılık bir karinedir"
8. Bu çerçevede, kişisel verilerin işlenmesi, sadece kanunda belirtilen şartlara uygun olarak yapılabilir. Bu şartlar arasında kişinin açık rızasının alınması, sözleşmenin kurulması veya ifası için veri işlemenin gerekli olması, bir hukuki yükümlülüğün yerine getirilmesi gibi haller bulunmaktadır
9. Ancak kişisel veriler açık rıza olmaksızın işleniyorsa, bu durum hukuka aykırıdır ve ciddi yaptırımlar doğurabilir. Açık rızaya ilişkin doktrinde; "Genel hukuka uygunluk nedenlerinden birisi olarak rızanın hangi yöntemle verileceği, içeriğinin ve niteliğinin ne olacağı konusunda açık bir düzenleme olmamakla birlikte, bu rızanın ilgili kişinin açık bir irade beyanıyla verilebileceği, hatta davranışlara dayalı örtülü (zımni) bir irade beyanıyla da verilebileceği (...)"
10 şeklinde ifadelere yer verilmiştir. Bu bağlamda, sosyal medya platformlarında kullanıcıların kişisel verilerinin işlenmesine ilişkin açık rızanın hangi usul ve şekillerde geçerli olarak verilebileceği, ayrıca incelenmesi gereken bir konudur.
Veri işleme faaliyetlerinde "hukuka ve dürüstlük kurallarına uygun olma", "doğru ve gerektiğinde güncel olma", "belirli, açık ve meşru amaçlar için işlenme", "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" gibi temel ilkeler gözetilmelidir
11. Bu ilkeler, veri sorumlularının keyfi şekilde veri toplamasını ve işlemesini engellemeyi amaçlar.
KVKK kapsamında bireyler; kişisel verilerinin işlenip işlenmediğini sorgulama, işlenmişse buna dair detaylı bilgi alma, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, mevzuat çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, düzeltilen ve silinen verilerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi önemli haklara sahiptir
12.
Sosyal medya platformları da Türkiye'de hizmet verdikleri için bu kanununa tabidir. KVKK, kişisel verilerin işlenmesi için açık rıza şartını getirmiş, verilerin hukuka uygun, dürüst ve belirli amaçlar için toplanmasını zorunlu kılmıştır. Sosyal medya platformlarının, kullanıcılardan topladıkları verileri hangi amaçla ve ne kadar süreyle saklayacaklarını açıkça belirtmeleri, veri sızıntılarını önlemek için gerekli teknik ve idari tedbirleri almaları kanunun temel gerekliliklerindendir. Sosyal medya platformları genellikle bu rızayı, kullanıcıların platforma kaydolurken onayladığı "kullanım koşulları" veya "gizlilik politikası" aracılığıyla elde eder. Ancak uygulamada bu rızaların ne derece "bilgilendirilmiş ve özgürce verilmiş" olduğu ciddi bir tartışma konusudur. KVKK'nın 12. maddesi, veri güvenliğini sağlama yükümlülüğünü doğrudan veri sorumlusuna yükler ve bu yükümlülüğün ihlali durumunda ciddi sonuçlar öngörür. Veri sızıntısı durumunda platformların, bu durumu Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere belirli bir süre içerisinde bildirmesi de zorunludur.
2. KVKK Kapsamında Veri Sorumlusu
KVKK'ya göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir
13. Türk hukukunda sosyal medya platformları, kullanıcıların kişisel verilerini toplayan, işleyen ve depolayan yapılar olmaları nedeniyle veri sorumlusu sıfatını taşırlar. Bu sıfat, platformlara ağır yükümlülükler getirmektedir. Veri sorumlusu olarak platformlar, verilerin güvenliğini sağlamak için makul ve güncel teknolojik önlemleri almakla yükümlüdür. Bir veri sızıntısı meydana geldiğinde, platformun bu ihlalin oluşmasında herhangi bir kusurunun bulunup bulunmadığı araştırılır. Gerekli tedbirleri almadığı tespit edilen platformlar, hukuki ve cezai sorumlulukla karşı karşıya kalabilir. Veri sorumlusu sıfatı, platformların kullanıcı verileri üzerindeki mutlak yetkisini ve bu yetkiyle birlikte gelen sorumluluğu vurgulamaktadır.
Bu minvalde veri sorumlusu; kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli olan tüm teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin işlenmesini kendi adına bir başka gerçek veya tüzel kişiye yaptırması durumunda veri sorumlusu, kişisel verilerin korunmasına ilişkin gerekli tedbirlerin alınması hususunda, bu kişilerle birlikte müşterek sorumluluk taşır. Aynı zamanda veri sorumlusu; kendi kurum veya kuruluşunda KVKK hükümlerinin gereğini yerine getirmek üzere gerekli denetimleri yapmak veya bir başkasına yaptırmakla yükümlüdür. Öte yandan veri sorumlusu, görevi sırasında öğrendiği kişisel verileri KVKK'ya aykırı şekilde başkalarıyla paylaşamaz, işleme amacının dışında kullanamaz; bu yükümlülük, görevinden ayrılsa dahi geçerliliğini korur. Ayrıca işlenen kişisel verilerin hukuka aykırı yollarla üçüncü kişilerce ele geçirilmesi halinde veri sorumlusu, durumu en kısa sürede hem ilgili kişiye hem de Kişisel Verileri Koruma Kurulu'na ("Kurul") bildirmek zorundadır. Kurul, gerekli gördüğü durumlarda bu ihlali internet sitesinde veya uygun gördüğü başka yollarla kamuoyuna açıklayabilir
14. Bu yükümlülük yerine getirilmezse hem idari para cezaları hem de cezai sorumluluk söz konusu olabilir.
3. İdari Para Cezaları ve Yaptırımlar
KVKK, veri sızıntıları ve veri güvenliği ihlalleri durumunda veri sorumlularına yönelik idari para cezaları öngörmektedir. Kanunun 18. maddesi uyarınca, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları hakkında 5.000 TL'den 1.000.000 TL'ye kadar idari para cezası uygulanabilmektedir. Ayrıca, bir veri ihlalinin KVKK'ya bildirilmemesi de ayrı bir idari para cezasını gerektirmektedir
15. Bu idari para cezaları, ihlalin boyutu ve ciddiyeti dikkate alınarak Kurul tarafından belirlenmektedir. Bu yaptırımlar, platformların veri güvenliğini ciddiye almalarını ve olası bir ihlal durumunda şeffaf bir şekilde hareket etmelerini sağlamayı amaçlamaktadır.
Bununla birlikte, kişisel verilerin veri sahibinin rızası olmadan kaydedilmesi, 5237 sayılı Türk Ceza Kanunu'nun
16 ("TCK") 135. maddesi ile düzenlenen kişisel verilerin kaydedilmesi suçu kapsamına girmektedir. TCK'nın 136. maddesi ise; "Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır." hükmünü haiz olup; kişisel verileri hukuka aykırı olarak ele geçiren veya yayan kişiler verileri hukuka aykırı olarak verme veya ele geçirme suçunu işlemiş olacaklardır. Ayrıca, TCK'nın 138. maddesine göre kişisel verilerin kanuni süreler geçmiş olmasına rağmen yok edilmemesi, verileri yok etmeme suçu kapsamına girmektedir. Bu bağlamda, kişisel verileri KVKK hükümlerine göre silmeyen ve anonim hale getirmeyenler TCK'nın 138. maddesine göre cezalandırılırlar
17.
4. Mevzuattaki Güncel Değişiklikler
Şubat 2025'te yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber ("Rehber"), sosyal medya platformlarının sorumluluğunu genişletmiştir. Rehber; biyometrik veriler, sağlık bilgileri veya siyasi görüş gibi hassas verilerin işlenmesinde platformlara ek yükümlülükler getirmektedir. Ayrıca 2024 yılındaki KVKK değişiklikleri ile veri güvenlik ihlali bildirimleri ve idari para cezalarına ilişkin süreçler yoğunlaştırılmıştır. Artık platformların, olası veri sızıntılarını daha hızlı ve daha şeffaf bir şekilde bildirmesi ayrıca bu ihlalleri önlemek için gereken tedbirleri aldığını kanıtlaması beklenmektedir. Aksi takdirde, daha önce uygulanan cezalara ek olarak, platformlara daha ağır yaptırımlar uygulanabilecektir. Bu yeni düzenlemeler, veri sorumlusu olan sosyal medya platformlarının uyum yükümlülüklerini artırarak veri güvenliği konusunda önleyici bir yaklaşım benimsemelerini sağlamaktadır.
5. Kurul Kararları ve Uygulama Örnekleri
Türk hukukunda sosyal medya platformlarının veri sızıntısı sorumluluğuna dair yargı kararları henüz tam olarak olgunlaşmamış olsa da Kurul'un aldığı kararlar ve uyguladığı yaptırımlar yol göstericidir. Kurul, Facebook gibi küresel bir platforma veri güvenliği ihlalleri nedeniyle idari para cezaları uygulamıştır
18. Bu kararlar ile, platformların kullanıcı verilerini yeterince koruyamadığı ve ihlal bildirimlerini zamanında yapmadığı gerekçesiyle yaptırımlar getirilmiştir. Örneğin, bir veri ihlali sonrası platformların, ihlalin kaynağını, etkilenen veri türlerini ve ihlalin potansiyel sonuçlarını detaylı bir şekilde Kurul'a sunması beklenmektedir. Bu uygulama örnekleri, KVKK'nın yalnızca bir regülasyon olmaktan öte aktif olarak uygulanan ve sosyal medya platformlarını ciddi anlamda bağlayan bir araç olduğunu göstermektedir.
B. Uluslararası Hukukta Durum
Sosyal medya platformlarının veri sızıntılarına ilişkin sorumluluğu, uluslararası alanda da güçlü yasal düzenlemelerle şekillenmektedir. Özellikle Avrupa Birliği'nin kabul ettiği General Data Protection Regulation (Avrupa Birliği Genel Veri Koruma Tüzüğü) ("GDPR"), bu konuda dünya çapında bir standart belirlemiş ve veri koruma hukukunda yeni bir dönemi başlatmıştır. Bu düzenlemeler, sadece Avrupa Birliği sınırları içinde faaliyet gösteren şirketleri değil, aynı zamanda Avrupa'daki kullanıcılara hizmet veren tüm platformları bağlamaktadır.
1. GDPR
2018 yılında yürürlüğe giren GDPR, kişisel verilerin korunması alanında en kapsamlı ve en etkili düzenlemelerden biri olarak kabul edilir. Sosyal medya platformları için GDPR, veri işleme faaliyetlerine ilişkin şeffaflık, hesap verilebilirlik ve veri güvenliği konusunda çok net yükümlülükler getirmektedir. GDPR'ın dikkat çekici maddelerinden biri olan "veri minimizasyonu" ilkesi, platformların sadece hizmet için gerekli olan verileri toplamasını öngörür. Veri sızıntısı durumunda ise, platformların bu ihlali yetmiş iki saat içinde ilgili denetim makamına ve riskin yüksek olduğu durumlarda veri sahiplerine bildirme zorunluluğu bulunmaktadır
19. Bu bildirimin yapılmaması, ağır yaptırımlara yol açabilir. GDPR'ın en caydırıcı özelliği ise ihlallerde uygulanan yüksek para cezalarıdır. Şirketler, büyük oranda para cezasıyla karşı karşıya kalabilirler. Facebook, Google ve WhatsApp gibi dev platformlara uygulanan milyonlarca Euro'luk cezalar, GDPR'ın etkinliğinin en somut kanıtlarıdır.
2. AİHM Kararları
Avrupa İnsan Hakları Mahkemesi ("AİHM"), Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesinde yer alan "özel ve aile hayatına saygı hakkı" kapsamında, kişisel verilerin korunması konusunu ele almaktadır. AİHM'nin kişisel verilen korunmasına ilişkin genel yönelimi doktrinde; "(…) kişisel verilerin korunmasıyla ilgili genel uygulanabilir ilkeler yerine AİHS'nin sağladığı güvence kapsamında her somut olayın özelliğine göre değerlendirme yapmak suretiyle kişisel verilerin korunması hakkıyla ilgili ilkeleri belirlemekte ve buna göre karar vermektedir. AİHM'nin bu kapsamda kişinin rızası olmaksızın kişisel verilerinin işlenmemesi, kişisel verilerin sınırsız veya gerekli olduğundan daha uzun süre tutulmaması veya açık bir şekilde meşru amacın belirtilmesi gerekliliği gibi belirlediği ilkelere aykırılık hâlinde AİHS'nin 8. maddesinin ihlâline karar verdiği (…)"
20 şeklinde açıklanmaktadır. AİHM, bireylerin kişisel verilerinin korunmasının, özel hayatın gizliliğinin ayrılmaz bir parçası olduğunu vurgulamaktadır. Her ne kadar AİHM kararları doğrudan sosyal medya platformlarını hedef almasa da devletlerin kişisel verileri koruma konusundaki pozitif yükümlülüklerini ortaya koymaktadır. Bu kararlar; ülkelerin, sosyal medya platformları gibi özel sektör kuruluşlarının veri güvenliğini sağlamak için yeterli yasal ve idari tedbirleri almasını zorunlu kılmaktadır. AİHM, kişisel verilere yönelik haksız müdahalelerde devletin sorumluluğunu ele alarak veri sızıntılarının bireylerin temel hak ve özgürlüklerini nasıl ihlal ettiğini göstermektedir. Bu bağlamda AİHM kararları, veri koruma hukuku alanında uluslararası bir referans noktası oluşturmaktadır.
V. SOSYAL MEDYA PLATFORMLARININ TEKNİK VE ETİK SORUMLULUĞU
Sosyal medya platformlarının veri sızıntılarına ilişkin sorumluluğu, yalnızca hukuki düzenlemelerle sınırlı değildir. Hukuk, bir zorunluluk çerçevesi çizerken; platformların teknik ve etik sorumlulukları, bu çerçevenin ötesine geçerek kullanıcı güvenliğini ve mahremiyetini en üst seviyede tutmayı gerektirir. Bu sorumluluklar, platformların yalnızca yasalara aykırı davranmaktan kaçınmalarını değil; aynı zamanda kullanıcılarına karşı dürüst, şeffaf ve koruyucu bir tutum sergilemelerini de kapsamaktadır.
A. Veri Güvenliğinin Sağlanması: Teknik Altyapı Sorumluluğu
Sosyal medya platformlarının temel sorumluluğu, kullanıcı verilerini koruyacak güçlü ve güncel bir teknik altyapı oluşturmaktır. Bu sadece bir zorunluluk değil aynı zamanda platformların var oluşunun temel bir parçasıdır. Teknik altyapı sorumluluğu, verilerin toplanmasından depolanmasına, işlenmesinden paylaşılmasına kadar tüm yaşam döngüsünü kapsamaktadır. Bu kapsamda platformlar, şifreleme teknolojilerini kullanarak verilerin yetkisiz erişimlere karşı korunmasını sağlamak zorundadır. Kullanıcı şifrelerinin tek yönlü şifreleme algoritmalarıyla saklanması, veri sızıntısı durumunda bile şifrelerin açığa çıkmasını engeller. Ayrıca, platformlardan, iki faktörlü kimlik doğrulama (2FA) gibi ek güvenlik katmanları sunarak kullanıcı hesaplarının güvenliğini artırmaları beklenmektedir. Veri sızıntılarının büyük çoğunluğu sistem zafiyetlerinden kaynaklandığı için platformların siber güvenlik uzmanlarından oluşan ekiplerle sürekli olarak sistemlerini denetlemesi, potansiyel açıkları bulması ve kapatması hayati önem taşımaktadır. Bu önleyici yaklaşım ile, olası bir veri ihlalinin henüz gerçekleşmeden önlenmesi sağlanabilecektir.
B. Kullanıcının Mahremiyetini Koruma Etik Sorumluluğu
Veri sızıntılarının ardında yatan etik sorunlardan biri, platformların kullanıcı mahremiyetini birincil bir değer olarak görmemesi veya ticari çıkarlara feda etmesidir. Sosyal medya platformlarının etik sorumluluğu, kullanıcıların verilerini "ürün" olarak metalaştırmaktan vazgeçerek; bu verileri korunması gereken birer hassas bilgi ya da bireysel mahremiyet unsuru olarak değerlendirmelerini gerekli kılmaktadır. Bu, verilerin sadece yasal olarak değil, aynı zamanda ahlaki olarak da doğru bir şekilde işlenmesi demektir. Platformlar, kullanıcı verilerini toplarken, bu verilerin tam olarak hangi amaçlarla kullanılacağını açık ve anlaşılır bir dille açıklamalıdır. Kullanıcıların, verilerinin toplanmasına ve kullanılmasına ilişkin tam kontrol sahibi olması sağlanmalıdır. Örneğin; platformlar, kullanıcılara reklam hedeflemelerini kapatma, konum takibini devre dışı bırakma ve kişisel verilerini silme gibi kolay erişilebilir seçenekler sunmalıdır. Bu etik yaklaşım, kullanıcıların platformlara olan güvenini pekiştirir ve dijital mahremiyetin bir lüks değil, temel bir hak olduğu fikrini güçlendirir.
C. Şeffaflık, Hesap Verilebilirlik ve Kamusal Denetim
Sosyal medya platformlarının, kullanıcı verilerinin söz konusu olduğu süreçlerde şeffaf davranma yükümlülüğü, etik sorumluluklarının en önemli göstergesidir. Bir veri sızıntısı meydana geldiğinde, platformların bu durumu gecikmeksizin ve tüm detaylarıyla kamuoyuna duyurması gerekmektedir. Sadece yasal bildirimleri yapmakla kalmayıp, ihlalin nasıl gerçekleştiğini, hangi verilerin etkilendiğini ve kullanıcıların ne gibi adımlar atması gerektiğini açıkça paylaşmalıdırlar.
Hesap verilebilirlik ise, platformların yaptıkları hatalardan ders çıkararak benzer olayların tekrarlanmaması için somut önlemler almasını ifade eder. Bu önlemler; güvenlik protokollerinin güçlendirilmesi, iç denetim mekanizmalarının sıkılaştırılması ve bağımsız denetçilerle iş birliği yapılması gibi uygulamalarla hayata geçirilebilir.
Son olarak kamusal denetim, sivil toplum kuruluşları, gazeteciler ve akademik çevrelerin platformların veri politikalarını sürekli olarak incelemesi ve kamuoyunu bilgilendirmesiyle sağlanır. Böyle bir denetim, platformların tek başına karar almasını sınırlandırarak veri güvenliği meselesini daha geniş bir toplumsal tartışma zeminine taşır.
VI. SONUÇ
Sosyal medya platformları; bireylerin dijital yaşamlarının ayrılmaz bir parçası haline gelirken, bu platformlar aracılığıyla toplanan ve işlenen devasa hacimdeki kişisel veriler, çağımızın en önemli hukuki, teknik ve etik meselelerinden birini teşkil etmektedir. Platformların, kullanıcı mahremiyetini ticari çıkarların önüne koyan, şeffaf ve hesap verilebilir bir yönetim anlayışı benimsemesi elzemdir.
Yasal düzenlemeler, özellikle KVKK ve GDPR, platformlara veri koruma konusunda önemli yükümlülükler getirmektedir. Bu düzenlemeler, veri minimizasyonunu, açık rıza ilkesini ve veri ihlallerinin zamanında bildirilmesini zorunlu kılar. Platformlar, güçlü teknik altyapılar kurmak, sürekli denetimler yapmak ve şifreleme gibi güvenlik önlemlerini uygulamakla yükümlüdür. Aksi halde, yüklü idari para cezaları ve cezai yaptırımlarla karşı karşıya kalabilirler.
Kullanıcıların dijital dünyada güvende hissetmesi için yalnızca yasalara uyum yeterli değildir. Platformların, verileri metalaştırmaktan vazgeçerek etik bir duruş sergilemeleri, kullanıcılarına verileri üzerinde tam kontrol sağlamaları ve olası bir ihlalde şeffaflıkla hareket etmeleri gerekmektedir. Bu sayede hem bireysel mahremiyet korunacak hem de dijital ekosistemde güven tesis edilecektir.
KAYNAKÇA
ASENA YILDIRIMER, Enformasyon Çağında Gözetim Toplumu: Facebook Cambridge Analytica Skandalı, Yeni Medya Elektrik Dergisi, Cilt 6, Sayı 2, 2022.
AYKUT KAYA, "Bir Araştırma Kaynağı Olarak Arşivlenen Sosyal Medya Verilerinin Kullanımı", Bilgi ve Belge Araştırmaları Dergisi, Sayı 16, 2021.
BEKİR GÜRSES, AB ve Türk Hukukunda Kişisel Verilerin Korunması Mevzuat Uyumuna Yönelik Bir Değerlendirme, 1. Baskı, İstanbul 2022.
BERRAK YILMAZ, Türk Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması, Ankara, 1. Baskı, 2022.
ÇİĞDEM AYGÖZER, Kişisel Verilerin Korunması, İstanbul, 1. Baskı, 2016.
SERDAR ÇELİKEL, Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direktif ve GDPR'la Karşılaştırmalı Olarak İncelenmesi, Uyuşmazlık Mahkemesi Dergisi, Cilt 9, Sayı17, 2021.
SÜMEYRA KARUNCU KARAAĞAÇ, Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmemesi Kabahati, 1. Baskı, 2022.
DİPNOT
1 Çiğdem Aygözer, Kişisel Verilerin Korunması, İstanbul, 2016, 1. Baskı, s. 8.
2 Aykut Kaya, Bir Araştırma Kaynağı Olarak Arşivlenen Sosyal Medya Verilerinin Kullanımı, Bilgi ve Belge Araştırmaları Dergisi, Sayı 16, 2021, s. 56.
3 Asena Yıldırımer, Enformasyon Çağında Gözetim Toplumu: Facebook Cambridge Analytica Skandalı, Yeni Medya Elektrik Dergisi, Cilt 6, Sayı 2, 2022, s. 104-112.
4 09.11.1982 tarih, 17863 sayılı Resmi Gazete (RG).
5 07.04.2016 tarih, 29677 sayılı Resmi Gazete (RG).
6 Anayasa madde 20.
7 KVKK madde 3/1-d.
8 Bekir Gürses, AB ve Türk Hukukunda Kişisel Verilerin Korunması Mevzuat Uyumuna Yönelik Bir Değerlendirme, 1. Baskı, İstanbul 2022, s. 57.
9 KVKK madde 5.
10 Serdar Çelikel, Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direktif ve GDPR'la Karşılaştırmalı Olarak İncelenmesi, Uyuşmazlık Mahkemesi Dergisi, Cilt 9, Sayı,17, 2021, s. 163.
11 KVKK madde 4.
12 KVKK madde 11.
13 KVKK 3/1-ı.
14 KVKK madde 12.
15 KVKK madde 18.
16 12.10.2004 tarih, 25611 sayılı Resmi Gazete (RG).
17 Sümeyra Karuncu Karaağaç, Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmemesi Kabahati, 2022, 1. Baskı, s. 44-51.
18 Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı Kararı, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Kararı.
19 GDPR madde 85.
20 Berrak Yılmaz, Türk Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması, Ankara, 1.Baskı, 2022, s. 190.
