Dolandırıcılık Yönetimi ve Siber Suçlar, Genel Veri Koruma Yönetmeliği (GDPR), Yönetişim ve Risk Yönetimi
ByteDance’a ait uygulama, çocukların gizliliğini ihlal ettiği gerekçesiyle cezalandırıldı
Akşaya Asokan (asokan_akshaya) •
15 Eylül 2023
TikTok, reşit olmayan kullanıcıların gizliliğini ihlal ettiği iddialarını çözüme kavuşturmak için İrlandalı veri gizliliği düzenleyicilerine 345 milyon euro ödeyecek.
Ayrıca bakınız: 2023’ün En Büyük ve En Cesur Veri İhlalleri ve İçeriden Gelen Tehditler
İrlanda Veri Koruma Komisyonu, TikTok’un genç kullanıcıları varsayılan olarak herkesin görebileceği hesaplar oluşturma konusunda yönlendirdiğini ve çocuk kullanıcı hesaplarının çocuk olmayan doğrulanmamış kullanıcılarla eşleştirilmesine izin verdiğini belirledi. Ajans, 2021 yılında, kısa biçimli video uygulamasının gizlilik uygulamalarına ilişkin 2020 yılının son yarısını kapsayan bir süre boyunca kendi yetkisiyle bir soruşturma başlattı.
Karar, TikTok’a gizlilik özelliklerini Avrupa’nın Genel Veri Koruma Yönetmeliği’ne uygun hale getirmesi için üç ay süre tanıdı. Şirketin Avrupa merkezi Dublin’dedir. Şirket, Birleşik Krallık’ta çocukların gizliliğine ilişkin iddialar ve Fransa’da çerez izni GDPR ihlalleri nedeniyle para cezalarını artırdı. Bağımsız analiz, en azından yetişkinler için TikTok’un veri toplamasının sosyal medya platformlarına özgü olduğu sonucuna vardı. Firmanın Çinli mülkiyeti (ana şirketi Pekin merkezli ByteDance’tir) Avrupa ve Kuzey Amerika’da tepkilere yol açtı ve hükümetlerin bunların resmi cihazlarda kullanımını yasaklamasına yol açtı (bkz: TikTok, Çinli Sahiplerin Ayrılmaması Halinde ABD’nin Yasaklamakla Tehdit Edeceğini Söyledi).
Bir TikTok sözcüsü, şirketin İrlanda Veri Koruma Komisyonu ile aynı fikirde olmadığını söyledi. “DPC’nin eleştirileri, üç yıl önce mevcut olan özelliklere ve ayarlara odaklanıyor ve soruşturma başlamadan çok önce, 16’nın altındaki hesapların tamamını varsayılan olarak özel olarak ayarlamak gibi değişiklikler yaptık.”
Ajansın Cuma günkü kararı, Avrupa Veri Koruma Kurulu’nun Ağustos ayında İrlanda DPC’sine bir ay içinde nihai bir karar yayınlaması talimatını vermesinin ardından geldi. Avrupa veri koruma yetkilileri arasında İrlanda kurumunun Eylül 2022 tarihli taslak kararıyla ilgili anlaşmazlıklar, Dublin’in Mayıs ayında Brüksel merkezli bir Avrupa içi anlaşmazlık çözüm mekanizması başlatmasına yol açtı (bkz.: İrlanda DPC, TikTok Gizlilik Soruşturmasını Haftalar İçinde Sonuçlandıracak ).
Anlaşmazlıklardan biri, TikTok’un, kullanıcıları bir şirketin tercih ettiği sonuca katılmaya ikna etmek için tasarlanmış bir kullanıcı arayüzü olan karanlık bir model oluşturarak kişisel verileri işlemede GDPR’nin “adillik” ilkesini ihlal edip etmediğiydi. Nihai karar, TikTok’un GDPR’nin kişisel verilerin adil bir şekilde işlenmesi yönündeki fermanını ihlal ettiğini ortaya koyuyor.
Bir diğer anlaşmazlık ise TikTok’un, yönetmeliğin 25. Maddesi kapsamında yaş doğrulamaya yönelik teknik kontrolleri varsayılan olarak uygulamayarak GDPR’yi ihlal edip etmediği konusundaydı. Nihai karar, TikTok’un varsayılan hesap ayarını herkese açık hale getirerek reşit olmayan kullanıcıların içeriğini görmesine izin vererek 13 yaşın altındaki kullanıcılara yönelik riskleri dikkate almayarak sorumluluklarını ihlal ettiğini ortaya koyuyor. Ancak nihai kararda bunun, tasarım gereği veri korumasına ilişkin GPDR dilinin ihlali yerine, veri kontrollerinin sorumluluklarını düzenleyen 24. Maddenin ihlali olduğu belirtiliyor.