Kişisel verilerin korunması, son yıllarda hem Türkiye'de hem de dünya genelinde hızla önem kazanan kritik bir alan hâline gelmiştir. Dijitalleşmenin etkisiyle bireylerin günlük yaşantısında daha fazla kişisel veri üretilmekte, bu durum ise veri güvenliği ve mahremiyet bilincine ilişkin toplumsal hassasiyeti artırmaktadır. Bu çerçevede, düzenleyici otoritelerin veri işleme faaliyetlerine yönelik denetimleri sıkılaşmakta; özellikle teknoloji şirketleri, kapsamlı veri toplama ve işleme pratikleri sebebiyle artan biçimde yaptırımlarla karşı karşıya kalmaktadır. Söz konusu gelişmelerin çarpıcı örneklerinden biri, dünya genelinde milyonlarca kullanıcıya hizmet veren TikTok hakkında hem Avrupa hem de Türkiye'de verilen yaptırım kararlarıdır. Bu kararlar yerel ve küresel düzeyde veri koruma trendlerini görmek bakımından da ilgi çekicidir.
Örnek vermek gerekirse ilk olarak İrlanda Veri Koruma Otoritesi ("DPC"), 1 Eylül 2023 tarihinde aldığı kararla, TikTok'un 31 Temmuz 2020 - 31 Aralık 2020 tarihleri arasında gerçekleştirdiği veri işleme faaliyetlerinde Avrupa Birliği Genel Veri Koruma Tüzüğü'ne ("GDPR") aykırılıklar tespit ederek 345 milyon Euro tutarında idari para cezası uygulamıştır.
İlgili kararda, platformun varsayılan olarak herkese açık profil ayarları kullanması, yaş doğrulama mekanizmalarının yetersizliği ve aydınlatma yükümlülüğünün eksik yerine getirilmesi gibi ciddi ihlaller belirlenmiştir. Özellikle GDPR madde 5(1)(a), 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1) ve 25(2) hükümlerinin ihlal edildiği vurgulanmıştır. Ayrıca Avrupa Veri Koruma Kurulu'nun ("EDPB") bağlayıcı görüşü doğrultusunda, TikTok'un çocuk kullanıcılar üzerinde uyguladığı "karanlık desenler" (dark patterns) nedeniyle adil işleme ilkesine aykırı davrandığı da belirtilmiştir.
Yine 2023 yılında, Türkiye'de de Kişisel Verileri Koruma Kurulu ("Kurul") tarafından gerçekleştirilmiş ve Kurul'un 2023/134 sayılı kararı uyarınca TikTok'a 1.750.000 TL idari para cezası verilmiştir. Kurul, açık rıza alınmaksızın veri işlenmesi, aydınlatma yükümlülüğünün yerine getirilmemesi, 13 yaş altı çocukların verilerinin ebeveyn izni olmadan toplanması, gizlilik politikasının Türkçeye çevrilmemesi ve çerezler yoluyla hukuka aykırı profilleme yapılması gibi pek çok ihlali tespit etmiştir. Ayrıca, TikTok'a yönelik olarak gizlilik politikalarının güncellenmesi, hizmet koşullarının sadeleştirilmesi ve aydınlatma metinlerinin ayrı bir yapı altında sunulması yönünde yükümlülükler getirilmiştir.
Çocukların dijital ortamda daha savunmasız olmaları, düzenleyici otoritelerin bu konuda daha sıkı denetimler yapmasına ve sektörel farkındalığın artmasına neden olmuştur. Avrupa Birliği başta olmak üzere birçok ülke çocukların çevrim içi mahremiyetini korumaya yönelik özel düzenlemeler geliştirirken, Türkiye'de de benzer şekilde çocuk verilerine ilişkin ayrı bir yasal çerçeve oluşturulmasına yönelik hazırlıklar yürütülmektedir. Bu gelişmeler, veri sorumluları açısından çocuklara yönelik hizmetlerin tasarımında çok daha yüksek dikkat ve özen yükümlülüğü doğurmaktadır.
Diğer taraftan, Türkiye'de kişisel verilerin korunmasına ilişkin yasal çerçevenin Avrupa Birliği standartlarına daha da yakınlaştırılması amacıyla uzun süredir beklenen yasal değişiklikler geçtiğimiz yıl gerçekleştirilmişti. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") yapılan değişiklikler 12 Mart 2024 tarihinde Resmî Gazete'de yayımlanmış ve 1 Haziran 2024 tarihinde yürürlüğe girmiştir. Söz konusu değişiklikler, başta özel nitelikli kişisel verilerin işlenmesi ve idari yaptırımlar olmak üzere; yurt dışına kişisel veri aktarımı konusunda da önemli yenilikler getirmiştir. (Kanun'da yapılan değişikliklere ilişkin detaylı bilgilere erişmek için lütfen tıklayınız.)
Yapılan değişiklikle birlikte, Kanun'un 9. maddesinde düzenlenen yurt dışına veri aktarımı rejimi GDPR çizgisine yakınlaştırılarak önemli ölçüde yeniden yapılandırılmış, kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar Avrupa Birliği uygulamalarıyla uyumlu hâle getirilmiştir. Buna göre, kişisel verilerin Kanun'un 5. ve 6. maddelerinde belirtilen işleme şartlarından birine dayanılarak ve aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında Kurul tarafından "yeterlilik kararı" verilmişse, açık rıza aranmaksızın yurt dışına aktarılabilecektir. Yeterlilik kararı bulunmaması hâlinde ise, ilgili kişinin haklarını yurtdışında da kullanabileceği ve etkili kanun yollarına erişebileceği güvence altına alınmalı; ayrıca -arızi haller saklı kalmak kaydıyla- standart sözleşme, bağlayıcı şirket kuralları, taahhütname gibi Kurul tarafından uygun görülen hukuki güvenceler sağlanması gerekmektedir. Yeni düzenleme, veri aktarım süreçlerine esneklik kazandırırken aynı zamanda Kurul denetimini ve kişisel verilerin korunmasını daha etkin kılmayı amaçlamaktadır.
Türkiye'deki veri sorumluları ve veri işleyenlerce yapılan kanun değişikliklerine uyum sağlanmaya çalışılırken, DPC'nin 2 Mayıs 2025 tarihinde TikTok hakkında verdiği bir başka karar kamuoyunun dikkatini çekmiştir. DPC tarafından verilen bu karar, yurt dışına veri aktarımı konusundaki denetimlerin ne denli sıkılaştığını göstermektedir. Zira kararda, TikTok'un Avrupa Ekonomik Alanı (EEA) kullanıcılarına ait kişisel verileri Çin'e aktarırken GDPR'ın 46(1). maddesi kapsamında gerekli güvence tedbirlerini almadığı ve 13(1)(f) maddesi çerçevesinde şeffaflık yükümlülüğünü yerine getirmediği tespit edilmiştir. Ayrıca, TikTok'un veri saklama lokasyonları hakkında yanıltıcı bilgi verdiği, Çin'deki yasal düzenlemelerin Avrupa'daki "eşit düzeyde koruma" ilkesiyle bağdaşmadığı değerlendirilmiş ve şirket 530 milyon Euro tutarında idari para cezasına çarptırılmıştır.
Tüm bu gelişmeler bir arada değerlendirildiğinde, TikTok örneği, çocuk verilerinin korunması konusunda olduğu gibi kişisel verilerin yurtdışına aktarılması bakımından küresel ölçekte artan düzenleyici hassasiyetin somut bir yansımasıdır. Türkiye'de yapılan yasal değişiklikler ve Kurul'un giderek daha aktif denetim yaklaşımı dikkate alındığında, veri sorumlularının benzer yaptırımlarla karşılaşmamak adına gerekli önlemleri zamanında almaları önem taşımaktadır. Özellikle yurt dışına veri aktarımı gerçekleştiren veri sorumlularının teknik ve idari tedbirlerini gözden geçirmeleri, yurtdışına veri aktarımında taahhütname, standart sözleşme veya bağlayıcı şirket kuralları gibi uygun güvenceleri sağlamaları ve şeffaflık ilkesine uygun olarak tam uyum şeklinde hareket etmeleri kritik olacaktır.
Katkılarından dolayı İsmail Arslan'a teşekkürler.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
