Makale
Sosyal medya platformlarının güvenlik zafiyetleri ve denetim eksiklikleri, kullanıcı verilerinin sızdırılmasına yol açmaktadır. Cambridge Analytica skandalında olduğu gibi, kişisel verilerin rıza dışı ticari ve siyasi amaçlarla üçüncü taraflarla paylaşılması, hizmet sağlayıcıların hukuki sorumluluğunu doğuran ağır bir ihlal nedenidir.
Sosyal Medya Hizmet Sağlayıcılarının Veri İhlalleri ve Hukuki Sorumlulukları
Günümüzde sosyal medya platformları, milyarlarca insanın iletişim kurduğu ve kişisel verilerini paylaştığı devasa dijital toplaşma alanları haline gelmiştir. Bu platformların işleyişini sağlayan sosyal medya hizmet sağlayıcıları, sistemin temel unsuru olan veri sorumlusu sıfatını taşımaktadır. Hukuki açıdan veri sorumlusunun en temel yükümlülüklerinden biri, kullanıcıların kendilerine emanet ettiği bilgileri korumak ve güvenliğini sağlamaktır. Ancak uygulamada, bu platformların denetleme görevinin yerine getirilmemesi ve gerekli siber güvenlik önlemlerinin alınmaması sebebiyle büyük çaplı veri sızıntıları yaşanabilmektedir. Bununla birlikte, söz konusu şirketlerin elde ettikleri devasa veri kümelerini, kullanıcıların açık rızası olmaksızın üçüncü kişilerle paylaşması da ağır hak ihlallerine zemin hazırlamaktadır. Özellikle hukuka aykırı şekilde gerçekleştirilen bu paylaşımların ticari ve siyasi manipülasyon amacıyla kullanılması, mahremiyetin ihlalinin ötesinde geniş toplumsal sonuçlar doğurabilmektedir. Bu makalede, hizmet sağlayıcıların kusurundan kaynaklanan güvenlik zafiyetleri ve veri satışı eylemlerinin hukuki boyutları, uzman bir KVKK hukuku perspektifiyle incelenecektir.
Hizmet Sağlayıcıların Güvenlik ve Denetim Zafiyetleri
KVKK mevzuatı uyarınca sosyal medya hizmet sağlayıcıları, kullanıcıların platformda ürettiği ve paylaştığı verilerin güvenliğini sağlamakla doğrudan yükümlüdür. İlgili şirketlerin denetleme görevini yerine getirmemesi ve platform kurallarını uygularken zafiyet göstermesi, kullanıcı profillerinin ve şifrelerinin çalınmasına neden olabilmektedir. Siber suç faaliyetlerindeki artış ve sistemlerin hacklenmesi gibi durumlarda, hizmet sağlayıcının veri güvenliğine dair önlemleri yeterince almamış olması doğrudan hukuki sorumluluk doğurur. Geçmişte Twitter'da iki yüz elli bin, LinkedIn'de yüz altmış yedi milyon ve Facebook'ta dört yüz on dokuz milyon kullanıcının hesap bilgilerinin ifşa olduğu veri sızıntıları, bu zafiyetlerin yıkıcı sonuçlarını açıkça ortaya koymaktadır. Bu tür ihlaller sonucunda şirketler, veri güvenliği yükümlülüklerini ihlal ettikleri gerekçesiyle yüksek idari yaptırımlarla karşı karşıya kalabilmektedir.
Verilerin Rıza Dışı Ticari ve Siyasi Amaçlarla Paylaşılması
Sosyal medya platformlarının asıl ticari değeri, sahip oldukları geniş veri setleridir; ancak bu verilerin kullanıcıların açık rızası alınmaksızın ticari veya siyasi maksatlarla üçüncü kişilerle paylaşılması hukuka kesin bir aykırılık teşkil eder. Bu durumun en çarpıcı örneği, Cambridge Analytica skandalı olarak tarihe geçmiştir. İlgili olayda, Facebook'un korumayı taahhüt ettiği yaklaşık seksen yedi milyon kullanıcının beğenileri, profil bilgileri ve özel mesajları, bir veri politikası danışmanlık şirketine hukuka aykırı şekilde aktarılmıştır. Büyük verilerin kullanıldığı bu veri temelli davranış analizi, 2016 ABD başkanlık seçimlerinde seçmen iradesinin manipüle edilmesi ve siyasi kampanyaların yönlendirilmesi için kullanılmıştır. Söz konusu izinsiz paylaşımlar yalnızca mahremiyeti ihlal etmemiş, aynı zamanda bireylerin kendi verilerinin geleceğini tayin hakkını ölçüsüzce sınırlandırmıştır.
İhlallerin Özel Hukuk Kapsamındaki Yaptırımları
Kişisel verilerin hizmet sağlayıcılar tarafından rıza dışı satılması veya sızdırılması durumunda mağdurlar, ihlalin sonuçlarına yönelik olarak birtakım hukuki yollara başvurabilirler. Bu bağlamda, platform kullanıcıları ihlallere karşı aşağıdaki hukuki adımları işletebilmektedir:
- Sözleşmeye aykırılık veya haksız fiil esasına dayalı olarak maddi tazminat davası açılabilir.
- Kişilik haklarına saldırı nedeniyle yaşanan üzüntü ve elemin telafisi için manevi tazminat talep edilebilir.
- Şirketin hukuka aykırı veri satışı üzerinden haksız bir kazanç elde etmesi durumunda, bu gelirin iadesi için sebepsiz zenginleşme veya gerçek olmayan vekâletsiz iş görme davaları yoluna gidilebilir.
İspat külfeti bakımından, verileri koruma yükümlülüğü altındaki veri sorumlusu şirketlerin kusursuzluklarını veya sözleşmeye uygun davrandıklarını ispat etmeleri gerekmektedir. Avrupa Birliği Genel Veri Koruma Düzenlemesi gibi uluslararası uygulamalar da bu ihlaller karşısında şirketlere bildirim zorunluluğu ve ağır yaptırımlar öngörerek veri öznelerini korumaktadır.