Kişisel Verileri Koruma Kurulu, 18.09.2019 tarihli ve 2019/269 sayılı kararı ile Facebook’a “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali nedeniyle 1.600.000,00-TL idari para cezası uygulanmasına karar verdi.

Facebook tarafından 14.10.2018 tarihinde “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” uygulamalarının etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlali olduğu Kurul’a bildirilmiştir ve konuya ilişkin bilgilendirmenin takip eden hafta içerisinde Kurul’a arz edileceği belirtilmiştir. Ancak buna rağmen Kişisel Verilerin Korunması Kanunu m. 12/5 gereğince Facebook tarafından herhangi bir bildirim yapılmaması üzerinde m. 15/1 gereğince Kurul tarafından re’sen inceleme yapma kararı alınmıştır.

Kurul tarafından yapılan ayrıntılı incelemede birden fazla ihlal tespit edilmiştir:

• Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı kaynaklanan veri ihlallerinin test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Facebook’un veri ihlali kapsamında Kanun’un 12/1 maddesinde belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu tespit edilmiştir.
• Veri ihlaline ilişkin zafiyetin 21 Temmuz 2017-27 Eylül 2018 tarihleri arasında yaklaşık 14 ay boyunca devam etmesi gerekli denetim ve kontrollerin yapılmadığının göstergesidir. Kanun’un  12/1 ve 12/3 maddelerinde belirtilen tedbirlerin alınması hususunda Facebook kusurludur.
• Zafiyet nedeniyle ihlalin 14 – 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Facebook tarafından belirtilmiş olup, Facebook tarafından ihlallerin tespitine rağmen önlemlerin gecikmeli olarak alınması ve bu süreçte veri ihlallerinin gerçekleşmiş olabileceği göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu açıktır. Bu durum, veri sorumlusunun Kanun m. 12/1’de belirtilen teknik ve idari tedbirleri almakta Facebook’un kusurlu olduğunu göstermektedir.
• İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan bazılarının temel profil bilgilerine ulaşılmıştır, bazılarının ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla özel nitelikli birçok kişisel veriye ulaşılmış olunması ihtimali vardır, küçük bir kısmının ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kalması söz konusudur. Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durum “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Kararı’nın 3 numaralı maddesine ve Kanun m. 12/1’e aykırılık teşkil etmektedir.
• İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği ortadadır.
• Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmamıştır.

Söz konusu ihlaller kapsamında Facebook’un Kanun m. 12/1’deki teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanun m. 18/1-b gereğince 1.150.000-TL; veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanun m. 12/5 gereğince veri ihlali hakkında Kurum’a bildirim yapılmadığı hususu da dikkate alınarak Facebook hakkında Kanun m. 18/1-b gereğince 450.000 TL idari para cezası uygulanmasına karar verilmiştir.