KVKK Rejiminin İlk Büyük İhlali: Kişisel Verileri Koruma Kurulu’nun Facebook’a Karşı Hükmettiği 1.650.000 TL İdari Para Cezası

Bu yazının konusunu Kurul’un, 10 Mayıs 2019 tarihinde yayınlamış olduğu, 2019/104 K. sayılı ve 11.04.2019 tarihli “Facebook kararı” oluşturmaktadır. Kurul’un kararına konu veri ihlali, kamuoyuna yansıyan ve “Fotoğraf API” olarak adlandırılan 13 Eylül-25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamalarının on iki gün boyunca yetkisini aşan düzeyde, Facebook üzerinden fotoğraflara erişmiş olabileceği iddiasına dayanmaktadır. Facebook Mühendislik Direktörü Tomer Bar bu açığı, 14 Aralık 2018’de https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/ adresinden “Geliştirici ekosistemimizin bir fotoğraf API’si hatası hakkında bilgilendirme” başlığıyla yayımladığı bir açıklamayla bu iddiayı doğrulamıştır. Açıklamada, Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül-25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirtilmiştir. Bunun yanında Facebook, 12 gün boyunca üçüncü parti bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan kusurdan kaynaklı Marketplace veya Facebook Stories’de paylaşılan diğer fotoğraflara da üçüncü parti uygulamaların erişim sağladığı ortaya çıkmıştır.