Bu yazımızda, sosyal medyada gerçekleşen veri ihlallerini, KVKK’ya aykırı paylaşımları, dünyadaki büyük veri ihlallerini, sosyal medya kuruluşlarının kişisel verilerden sorumluluklarını ve ihlal halinde başvurulabilecek hukuki yolları ele almaya çalışacağız.

Sosyal medya; kişilerin kullanıcı sıfatıyla ortak ilgilerini, düşüncelerini, duygularını, bilgilerini, kişisel hal ve durumlarını, siyasi eğilimlerini, fotoğraflarını, videolarını, yazılarını, fikir ve sanat eserlerini, mesleki faaliyetlerini ve benzeri değerleri ile kimi kişisel verilerini gerek diğer münferit kişiler gerekse belirli bir topluluk yahut kamuyla paylaşma olanağı buldukları karşılıklı etkileşim, iletişim, işbirliği, topluluk ve öz içerik oluşturulmasına interaktif olarak izin veren dijital platformların tümüne verilen isim olarak adlandırılabilir.

Özel Hayat Nedir?

Özel hayat, Türk Dil Kurumu tarafından “Kişilerin kendine özgü yaşayışı, yaşama tarzı, kendisini ilgilendiren tutum ve davranışı” olarak tanımlanmıştır. Aynı zamanda Anayasanın 20. maddesinde “Herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz” denilerek kişinin özel hayatı anayasal koruma altına alınmıştır. Bir suç olarak tanımlanan özel hayatın gizliliğinin ihlali ise anayasamızın bu hükmünün bir uzantısı olup Türk Ceza Kanunu’nun 134. maddesinde düzenlenmiştir. Böylelikle anayasal koruma altına alınmış bir hakkın ihlali suç tipi olarak somutlaştırılmış ve bu fiile karşı cezai yaptırım öngörülmüştür.

Özel Hayatın Gizliliğini İhlal Suçunun Cezası Nedir?

Özel hayatın gizliliğini ihlal suçunda, insanların birbirinin gizli yaşam alanlarına girerek başkalarının görmesi mümkün olmayan bir özel yaşam olayını saptaması veya kaydetmesi fiilinin faili veya failleri cezalandırılmaktadır. TCK m.134’e göre; kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat arttırılır. Özel hayatın gizlilik alanına ilişkin ses ve görüntülerin ifşa edilmesi ise özel hayatın gizliliğini ihlal suçunun nitelikli şeklinin meydana gelmesine neden olur. Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

Özel hayatın gizliliğini ihlal suçunun en yaygın şekilde işlendiği ortam internet ortamıdır. Sosyal medya üzerinden, elektronik posta, sosyal medya veya herhangi bir internet web sitesi üzerinden rızası dışında başkasına ait resim, ses kaydı veya video paylaşılması özel hayatın gizliliğini ihlal suçunun nitelikli halini oluşturur. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Özel nitelikli kişisel veriler ise başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Kişisel Verilerin Kaydedilmesi ve Yayılması Suç Mudur?

Kişisel verilerin kaydedilmesi suçu; kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin kimliğini belirleyen veya belirlenebilir kılan tüm verilerin hukuka aykırı olarak kaydedilmesidir.

TCK m.135 uyarınca hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Devamında ise kişisel verileri yayma suçu düzenlenmiş olup buna göre kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Sosyal Medyada 3. Kişilerin Kişisel Verilerini Paylaşmak

Yazılı ve görsel basında, sosyal medya hesapları ile çevrimiçi platformlarda bir kişinin kim olduğunun belirlenmesini sağlayacak şekilde kimlik, sağlık veya test sonucu, ikâmetgah ve sair bilgilerinin, fotoğraf, görüntü, ses ve video kayıtlarının, hukuka aykırı şekilde paylaşıldığına sıkça şahit olmaktayız. Kişisel veri güvenliğini tehdit edebilecek paylaşımlardan kaçınılması gerekmektedir. Bu verilerin, kanunda belirtilen işleme şartlarından herhangi biri olmaksızın paylaşılması da yukarıda açıklandığı üzere kanuna aykırı olup suç teşkil etmektedir.

Dikkat edilmesi gereken bir diğer husus ise; özellikle pandemi döneminde kişisel sağlık verilerinin paylaşılmasındaki artıştır. KVKK 6. maddesi gereğince; kişilerin sağlığı hakkındaki bilgiler özel nitelikli kişisel verilerden olup diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kişisel sağlık verisi; kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgidir. Kurulca yayınlanan bir kararda; ilgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun hekimler tarafından internet ve sosyal medya mecralarında paylaşılmasıyla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, idari para cezası uygulanmıştır.

Sosyal Medya Platformlarının KVKK Nezdinde Sorumlulukları Nelerdir?

Sosyal medya platformları, öncelikle veri ihlallerini engellemek amacıyla veri güvenliğini sağlamakla yükümlüdürler. Bu yükümlülüğü, teknik ve idari tedbirlerin alınması ile Kanun hükümlerinin uygulanması amacıyla gerekli denetimlerin yapılması şeklinde özetlemek mümkündür. Platformda kayıt altına alınan kişisel verilerin korunması için proaktif bir yaklaşım içerisinde, inovasyona dayalı, sürdürülebilir veri koruma politikaları oluşturulmalı ve derinlemesine savunma anlayışı benimsenmelidir.

Veri ihlalinden haberdar olan veri sorumlusu, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula ihlali bildirmekle yükümlüdür. Bugüne kadar veri sorumlusu sıfatına haiz ve daha birçok şirket Kişisel Verileri Koruma Kurumu’na kişisel veri ihlali bildiriminde bulunmuştur.

Veri İhlali Durumunda, Veri Sorumlusunun Karşılaşılacağı İdari Yaptırımlar Nelerdir?

KVKK 12. maddesi uyarınca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır. Zamanında bildirim yapmayan veri sorumlusu hakkında 39.337 Türk lirasından 1.966.862 Türk lirasına kadar idari para cezası verilebilecektir.

Veri ihlalinin sebebinin veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi olduğunun anlaşılması halinde ise 29.503 Türk lirasından 1.996.862 Türk lirasına kadar idari para cezası verilebilecektir.

Diğer yandan, kişilik hakları ihlal edilenlerin, genel hükümlere göre maddi ve manevi tazminat hakları saklı olduğundan bu yönden de yaptırımlarla karşı karşıya kalacaklardır.

Sosyal Medya Platformlarının Maruz Kaldığı Büyük Veri İhlalleri

İnternet dünyasının ilk sosyal medya platformlarından biri olan Myspace tarafından, 2019 yılında yapılan açıklamada; 2016'dan önce sitelerine yüklenen, internette başka yedeği olmayan milyonlarca şarkı, fotoğraf ve video dahil 300 milyon kullanıcıya ait her bir içeriği kaybettiği belirtilmiştir. Her ne kadar sistemsel bir silinme hatası olduğu iddia edilse de verilerin aslında başka bir mecraya aktarıldığı düşünülmektedir.

Günümüzde en çok tercih edilen sosyal paylaşım sitelerinden biri olan Facebook'tan sızdırılıp az bilinen bir hacker sitesinde yayımlanan 106 ülkeden 533 milyon kişinin verileri arasında Türkiye'den de 19 milyon 638 bin 821 kişinin bilgileri de paylaşılmıştır. Konuyu haberleştiren Business Insider sitesine göre, yayımlanan kişisel veriler arasında kullanıcıların telefon numaraları, e-posta adresleri, doğum tarihleri, konumları, ilişki durumları paylaşımları gibi özel bilgilerinin yer aldığı görülmektedir.

Microsoft'un profesyonel ağ kurma sitesi LinkedIn, herkesin görebileceği üye profili de dahil olmak üzere bazı verilerin toplandığını ve satış için gönderildiğini duyurmuştur. LinkedIn'i kullanan 500 milyon kişinin sızdırılan verileri arasında; profil bilgileri, isim-soyisim, kayıtlı e-posta adresleri, kayıtlı telefon numaraları, cinsiyet bilgisi, sosyal medya profilleri ve profesyonel unvanlar bulunmaktadır.

Sesli sohbet içeren sosyal medya platformu Clubhouse'un 1.3 milyon kullanıcısının kişisel verilerini içeren bir SQL veritabanının çevrim içi olarak sızdırıldı ve çalınan veriler bir hacker forum sayfasında paylaşılmıştır. Cyber News'in raporuna göre, sızan veriler arasında sosyal medya profil adları, kullanıcı kimlikleri, fotoğraf bağlantı linkleri, Twitter profilleri, takipçi sayısı, hesap oluşturma tarihi, davet edilen kullanıcı profili adı ve başka birçok ayrıntı yer aldığı belirtilmiştir.

İnternet hizmet şirketi Yahoo!, dünyanın en büyük veri ihlaline maruz kalarak 2017’de 3 milyar insanın bu ihlalden etkilendiğini onaylamıştır. Çalınan veriler arasında isimler, doğum tarihleri, e-posta adresleri, telefon numaraları, şifrelenmiş veya şifrelenmemiş güvenlik soruları ve cevapları bulunmaktadır.

Ülkemizde yer alan veri ihlallerine bakıldığında ise; Yemeksepeti’nin uğradığı siber saldırıyla ilgili Kişisel Verileri Koruma Kurumu'na gönderdiği kişisel veri ihlali bildirimi göze çarpmaktadır, buna göre saldırıdan 21 milyon 504 bin 83 kişinin etkilendiği kaydedilmiştir. Bu ihlalde Yemeksepeti’nde bulunan ad-soyad, doğum tarihi, telefon numarası, e-posta adresi, adres bilgisi, açık olarak görülemeyen SHA-256 algoritmasıyla maskelenmiş giriş şifreleri ele geçirilmiştir.

Ayrıca 2020 yılında Kariyer.net sitesinde bulunan 40 bin 955 kişiye ait ad soyad, email adresi, kullanıcı şifresi, doğum tarihi, telefon numarası, yaşadığı il ve ilçe ve profil fotoğraflarının internette bir siteye yüklediği tespit edilmiştir.

Görüldüğü üzere kullanıcı verilerini temel alan siber saldırılar her geçen gün artmaktadır. Bunun en önemli nedeni ise bu tip verilerin kredi kartı bilgileri, şifreleri ve kullanıcılar hakkında büyük bir bilgi deposu oluşturulmasıdır. Bilgisayar korsanları ise bu verileri insanları taklit etmek ve dolandırıcılık yapmak için kullanmayı amaçlamaktadırlar.

Sosyal Medyada Kapsamında Kişisel Verilerine Dair Hakları Zedelenen Kişiler Neler Yapabilir?

KVKK, kişisel verileri ihlal edilenlerin genel hükümlere göre tazminat hakkı olduğunu belirttiğinden ve sosyal medyada kişisel verilerin işlenmesi kişilik hakkına saldırı olarak sayılacağından TMK’nın kişilik haklarına saldırı için önerdiği hukuki yollara müracaat edilebilir.

Buna göre öncelikle 3. kişiler tarafından gerçekleştirilen ihlal hali hala devam ediyorsa saldırının önlenmesi davası açılabilir. Saldırı sona ermiş ise saldırının varlığını belirlemek amacıyla tespit davası açılabilir. Tespit davası ile birlikte düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da yayımlanmasını da istenebilmektedir.

Manevi tazminat davası da; TMK m.25’te öngörülen bir dava yolu olup veri ihlalinin zarar görende meydana gelen acı ve üzüntüleri azaltacağından tatmin fonksiyonuna da sahiptir. Belirtmek gerekir ki veri ihlali nedeniyle kişinin malvarlığında bir azalma söz konusu olup, rıza dışı bu azalma ile zarar verenin kusurlu eylemi arasında uygun illiyet bağı bulunuyorsa maddi tazminat davası da açılabilecektir.

Ayrıca kişisel veri ihlalinde bulunan kişi bu saldırısı nedeniyle bir takım kazançlar elde etmiş ise ve böylece malvarlığında bir artış meydana gelmiş ise vekaletsiz iş görme hükümleri uyarınca zarar gören kişi bu kazancın kendisine ödenmesini de isteyebilir.

Sosyal medya kuruluşlarının veri güvenliğini sağlayamamaları sebebiyle veri ihlallerinden zarar gören kişiler de; bu platformlara karşı maddi ve manevi tazminat davası açabilirler. İhlalde platform çalışanlarının kastı veya (ağır) ihmali varsa bu durumda cezai ve idari yaptırımlar da gündeme gelecektir.

Av. Nagihan Merve AKASLAN

İstanbul Barosu

KAYNAKÇA

Kişisel Verileri Koruma Kanunu

Kişisel Sağlık Verileri Hakkında Yönetmelik

Mine Kaya, “Telekomünikasyon Alanında Kişilik Haklarının Korunması”, Ankara Barosu Dergisi, c .4, 2010

https://www.kvkk.gov.tr/

https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

https://www.theguardian.com/technology/2019/mar/18/myspace-loses-all-content-uploaded-before-2016

KVKK Başkanı Prof. Dr. Faruk Bilir’in İhlas Haber Ajansı’na yaptığı açıklama