Ⅰ. GİRİŞ
Dijitalleşmenin hız kazanmasıyla birlikte sosyal medya platformları, bireylerin kişisel verilerini işleyen en yaygın aktörlerden biri haline gelmiştir. Kullanıcılar, bu platformlarda kişisel bilgilerini paylaşırken sıklıkla veri işleme süreçlerinin kapsamı ve sonuçları hakkında yeterli bilgiye sahip olmamaktadır. Türkiye’de 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), bireylerin kişisel verilerinin işlenmesinde temel hak ve özgürlüklerini korumayı amaçlamakta ve veri sorumlularına çeşitli yükümlülükler getirmektedir. Bu bağlamda, sosyal medya platformlarının Türkiye’deki faaliyetleri KVKK hükümleri çerçevesinde değerlendirilmekte; hem kullanıcıların dijital haklarının güvence altına alınması hem de platformların veri işleme süreçlerinin denetimi açısından özel bir önem arz etmektedir.
ⅠⅠ. SOSYAL MEDYA VE KVKK
Sosyal medya platformları, KVKK kapsamında “veri sorumlusu” sıfatına sahiptir. Bu sıfatla, Türkiye’deki kullanıcıların kişisel verilerini toplarken, işlerken, saklarken ve gerektiğinde silerken ya da anonim hale getirirken hukuka uygun hareket etme yükümlülükleri bulunmaktadır.
KVKK’nın 10. maddesi uyarınca, veri sorumluları, kişisel verilerin elde edilmesi sırasında ilgili kişileri yani kullanıcıları bilgilendirmekle yükümlüdür. Bu kapsamda yapılacak aydınlatma, veri sorumlusunun kimliğini, kişisel verilerin hangi amaçlarla işleneceğini, kimlerle ve hangi amaçlarla paylaşılabileceğini, verilerin toplanma yöntemini ve dayanağı olan hukuki sebepleri ile ilgili kişilerin sahip olduğu hakları içermelidir.
Kullanıcılar ise KVKK’nın 11. maddesi çerçevesinde çeşitli haklara sahiptir. Bu haklar arasında, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna dair bilgi talep etme, verilerin işlenme amacıyla orantılı kullanılıp kullanılmadığını sorgulama ve verilerin kimlere aktarıldığını öğrenme gibi yetkiler yer almaktadır. Ayrıca kullanıcılar, eksik ya da hatalı verilerin düzeltilmesini talep edebileceği gibi, hukuka aykırı şekilde işlenen verilerin silinmesini veya yok edilmesini de isteyebilir. Bu taleplerin, verilerin aktarıldığı üçüncü taraflara da bildirilmesini isteme hakkı da mevcuttur.
Bunlara ek olarak, kişisel verilerin yalnızca otomatik sistemlerce analiz edilmesi neticesinde kişinin aleyhine sonuç doğması durumunda itiraz etme hakkı ve kişisel verilerin hukuka aykırı işlenmesinden doğan zararlara karşı tazminat talebinde bulunma hakkı da tanınmıştır.
KVKK ile sosyal medya platformları arasındaki ilişki, dijital ortamda faaliyet gösteren bu aktörlerin Türkiye’deki yerel mevzuata uyum zorunluluğu çerçevesinde şekillenmektedir. Özellikle, 7253 sayılı Kanun ile getirilen değişiklik uyarınca sosyal medya sağlayıcılarının Türkiye’de temsilci bulundurma yükümlülüğü ve kullanıcı verilerine ilişkin şeffaflık sağlama zorunluluğu, KVKK’nın öngördüğü veri güvenliği ve mahremiyet ilkeleriyle doğrudan bağlantılıdır. Sosyal medya şirketlerinin, kullanıcıların profil bilgileri, lokasyon verileri gibi geniş kapsamlı kişisel verileri işlemesi, bu platformları KVKK’da düzenlenen teknik ve idari güvenlik tedbirlerini alma yükümlülüğü altına sokmaktadır. Bu yükümlülüklere uyulmaması halinde, veri ihlali bildiriminde bulunma zorunluluğu ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) denetim yetkisi gibi çeşitli yaptırımlar devreye girmektedir.
ⅠⅠⅠ. SOSYAL MEDYA PLATFORMLARININ SORUMLULUKLARI
KVKK uyarınca “veri sorumlusu“, kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri kayıt, sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu tanım gereği sosyal medya platformları, Türkiye’de yerleşik olup olmadığı fark etmeksizin kullanıcılarının verilerini toplama, analiz etme, paylaşma veya saklama gibi faaliyetlerde bulunduklarında veri sorumlusu sıfatını kazanırlar. Özellikle Facebook, Instagram, TikTok gibi platformlar, kullanıcıların açık rızasına dayalı olarak dahi olsa, kişisel veri işleme süreçlerinde KVKK’da öngörülen yükümlülüklere tabidir. Bu yükümlülükler arasında aydınlatma yükümlülüğü, veri güvenliği tedbirlerinin alınması, ilgili kişinin başvurularını yanıtlama ve veri ihlali durumunda Kurul’a ve ilgili kişilere bildirim yer almaktadır.
Sosyal medya platformlarının, kullanıcılarına sundukları hizmet kapsamında işledikleri veriler bakımından amaç ve vasıtaları bizzat belirlemeleri, onları yalnızca bir “veri işleyen” değil, bağımsız birer veri sorumlusu haline getirir. Örneğin, reklam hedeflemesi için kullanıcı verilerinin profillenmesi, başka hizmet sağlayıcılarla paylaşılması veya algoritmik içerik önerilerinde kullanılması gibi işlemler, veri sorumlusunun doğrudan sorumluluk alanına girer. Bu bağlamda sosyal medya şirketlerinin, özellikle Türkiye’deki kullanıcılar açısından yerel temsilci ataması, veri envanteri oluşturması, Veri Sorumluları Sicili (“VERBİS”)’e kayıt gibi ek yükümlülükleri de bulunmaktadır. Aksi halde, Kurul’un yetkisi kapsamında idari para cezaları, faaliyet durdurma ve bant daraltma gibi yaptırımlar söz konusu olabilir. Dolayısıyla, sosyal medya platformlarının veri sorumlusu kimliği, onları Türkiye’deki veri koruma rejimiyle doğrudan ve kapsamlı bir ilişki içine sokmaktadır.
KVKK, sosyal medya platformları da dâhil olmak üzere tüm veri sorumlularına kişisel verilerin güvenliğine ilişkin önemli yükümlülükler getirmektedir. KVKK’nın 12. maddesi çerçevesinde veri sorumluları, üç temel amacı yerine getirmekle yükümlüdür:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı erişimi engellemek,
- Kişisel verilerin güvenli bir şekilde muhafaza edilmesini sağlamak.
Bu amaçlara ulaşmak için, veri sorumlularının gerekli her türlü teknik ve idari tedbiri almaları zorunludur. Eğer kişisel veriler, veri sorumlusu adına bir başka gerçek ya da tüzel kişi tarafından işleniyorsa, veri sorumlusu bu kişilerle birlikte alınacak önlemlerden müştereken sorumlu tutulur. Ayrıca, veri sorumluları kurum veya kuruluşlarında KVKK hükümlerinin uygulanmasını sağlamak için gerekli denetimleri yapmak ya da yaptırmakla da yükümlüdür. Sosyal medya şirketleri ve çalışanları, edindikleri kişisel verileri KVKK hükümlerine aykırı şekilde açıklayamaz ve amacı dışında kullanamaz.
Kişisel verilerin yetkisiz kişilerce elde edilmesi gibi bir ihlal durumu söz konusu olduğunda, veri sorumlusu bu durumu en kısa sürede hem ilgili kişiye hem de Kişisel Verileri Koruma Kurulu’na bildirmek zorundadır. Kurul, uygun gördüğü durumlarda bu ihlali kamuoyuna duyurabilir.
KVKK’nın 13. maddesi, kişisel verisi işlenen bireylere veri sorumlusuna doğrudan başvurarak haklarını kullanma imkânı tanır. Bu başvuru; yazılı olarak ya da Kurul’un belirlediği diğer yöntemlerle yapılabilir. Veri sorumlusu, kendisine iletilen başvuruları en kısa sürede ve en geç otuz gün içinde sonuçlandırmak zorundadır. Başvuruya ilişkin işlemlerin ek bir maliyet doğurması hâlinde, yalnızca Kurul tarafından belirlenen tarifeye göre ücret talep edilebilir. Ancak, başvurunun veri sorumlusunun hatasından kaynaklandığı durumlarda, alınan ücret iade edilir.
Veri sorumlusu, başvuruyu kabul edebilir veya gerekçesini açıklayarak reddedebilir. Kabul edilen talepler doğrultusunda gerekli işlem derhâl yerine getirilir ve sonuç ilgili kişiye yazılı ya da elektronik ortamda bildirilir.
Ⅳ. SORUMLULUK İHLALLERİ
Sosyal medya platformlarının KVKK kapsamında en yaygın sorumluluk ihlalleri:
- Açık rıza alınmaksızın kişisel veri işlenmesi,
- Veri sahibine yeterli aydınlatma yapılmaması,
- Verilerin yurtdışına aktarımında gerekli güvencelerin sağlanmaması,
- Veri güvenliği önlemlerinin yetersizliği,
gibi başlıklarda toplanmaktadır. Kurul’un 2019 tarihli kararlarında, Facebook’un kullanıcı verilerinin üçüncü taraf uygulamalarla paylaşımında yeterli şeffaflık sağlamadığı ve veri güvenliği açıkları nedeniyle ciddi idari yaptırımlara uğradığı görülmüştür (KVKK Karar No: 2019/269 – “Facebook hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Karar”). Benzer şekilde, TikTok’un çocuk kullanıcıların kişisel verilerinin işlenmesine ilişkin olarak aydınlatma yükümlülüğünü ihlal ettiği ve reşit olmayan kullanıcıların verilerini işlerken özel önlem almadığı tespit edilmiştir. (KVKK Karar No: 2023/134 – “TikTok Pte. Ltd. hakkında Kişisel Verileri Koruma Kurulunun 2023/134 sayılı Karar Özeti”) Kurul, TikTok Pte. Ltd. adlı sosyal medya şirketinin, özellikle çocukların kişisel verilerinin işlenmesi konusunda gerekli teknik ve idari tedbirleri almadığı, ayrıca aydınlatma yükümlülüğü ile açık rıza alma şartlarına uygun davranmadığı gerekçesiyle 1.750.000 TL idari para cezası uygulanmasına karar vermiştir.
Bu tür ihlaller, yalnızca idari para cezalarıyla sınırlı kalmamakta; aynı zamanda veri sahibinin haklarının ihlali nedeniyle tazminat taleplerine ve platformlara yönelik itibar kaybına da yol açmaktadır. KVKK’nın 18. maddesi uyarınca, ihlalin niteliğine göre 50.000 TL’den 2.000.000 TL’ye kadar idari para cezası uygulanabilmektedir. Ayrıca, veri sorumlusu sıfatını haiz sosyal medya şirketleri, kişisel verilerin kanuna aykırı ifşası, kaybı veya kötüye kullanımı nedeniyle 6098 sayılı Türk Borçlar Kanunu ve 5237 sayılı Türk Ceza Kanunu kapsamında da hukuki ve cezai sorumluluk altına girebilir.
Bir diğer deyişle; KVKK kapsamındaki yükümlülüklere aykırı hareket eden sosyal medya platformları, sadece idari değil, hukuki ve cezai sonuçlara da katlanmak zorundadır. Bu da veri koruma rejimini sadece bir uyum meselesi olmaktan çıkararak, doğrudan platformun sorumluluk alanı ve risk yönetimi konusuna dönüştürmektedir.
Ⅴ. SONUÇ
Sosyal medya platformlarının, kullanıcı verilerini işleme süreçlerinde KVKK kapsamında veri sorumlusu sıfatıyla hareket etmeleri; aydınlatma yükümlülüğünden veri güvenliğinin sağlanmasına, hak arama yollarının işletilmesinden açık rıza alınmasına kadar birçok hukuki sorumluluğu da beraberinde getirmektedir. Türkiye’de yerleşik olmasalar dahi, Türk kullanıcıların verilerini işleyen bu platformlar, KVKK hükümlerine tabi olup, denetime ve yaptırıma açıktır. Özellikle çocukların kişisel verileri gibi hassas veriler söz konusu olduğunda, platformların yükümlülükleri daha da artmakta, ihlaller halinde idari para cezalarının yanı sıra hukuki ve cezai sorumluluklar da doğabilmektedir. Son yıllarda Kurul tarafından verilen kararlar, bu yükümlülüklerin ciddiyetini ve uygulamadaki etkisini ortaya koymakta; sosyal medya platformlarına yönelik veri koruma bilincini güçlendirmektedir. Bu nedenle, hem kullanıcıların bilinçli hareket etmesi hem de platformların şeffaf ve hukuka uygun veri işleme politikaları geliştirmesi, KVKK’nın öngördüğü veri güvenliği rejiminin etkinliği açısından büyük önem taşımaktadır.
