TikTok, çocuk hesaplarında AB veri yasasını ihlal ettiği için 345 milyon avro para cezasına çarptırıldı
(theguardian.com)- İrlanda Veri Koruma Komisyonu (DPC), TikTok’un çocuk hesaplarını işleme biçiminin AB GDPR kurallarını ihlal ettiğini belirterek 345 milyon avro para cezası verdi
- 13-17 yaş arası hesapların kayıt sürecinde varsayılan olarak herkese açık ayara alınması ve çocuk kullanıcılara yeterince şeffaf bilgi sunulmaması temel tartışma konusu oldu
- “family pairing” özelliği, hesabı kontrol eden yetişkinin gerçekten ebeveyn veya vasi olup olmadığını doğrulamadığı için, 16 yaş ve üzeri kullanıcıların doğrudan mesaj ayarlarını bile açabiliyordu
- DPC, 13 yaş altı kullanıcıların platforma girip herkese açık ayarda kalma riskini TikTok’un yeterince hesaba katmadığını değerlendirdi, ancak yaş doğrulama yönteminin kendisini GDPR ihlali olarak görmedi
- TikTok ise soruşturmanın 31 Temmuz 2020-31 Aralık 2020 arasındaki ayarları kapsadığını, 2021’den itibaren 13-15 yaş hesaplarını varsayılan olarak gizli hale getirmek gibi sorunları zaten düzelttiğini savundu
345 milyon avroluk cezanın dayanağı
- TikTok, çocuk hesaplarının işlenmesiyle ilgili olarak AB veri koruma yasasını ihlal ettiği gerekçesiyle 345 milyon avro, yaklaşık 296 milyon sterlin para cezasına çarptırıldı
- AB içinde TikTok düzenlemelerinden sorumlu İrlanda Veri Koruma Komisyonu (DPC), TikTok’un GDPR kurallarını birçok kez ihlal ettiğine hükmetti
- Temel nokta, reşit olmayan kullanıcıların içeriklerinin kamuya açık şekilde görünmesini önleyecek yeterli korumanın sağlanamamasıydı
Varsayılan herkese açık ayarın yarattığı görünürlük riski
- DPC, 13-17 yaş arası kullanıcıların kayıt sırasında hesaplarının varsayılan olarak herkese açık ayarlanmasına yönlendirildiğini değerlendirdi
- Herkese açık hesaplarda herkes hesap içeriğini görebilir veya yorum yapabilir
- Bu ayar nedeniyle herkesin ilgili kullanıcının paylaştığı sosyal medya içeriklerini görebildiği sonucuna vardı
- TikTok’un asgari kullanım yaşı 13
- 13 yaş altı kullanıcıların platforma erişmesi durumunda herkese açık ayarda kalma riskinin de yeterince dikkate alınmadığı belirtildi
Şeffaflık eksikliği ve family pairing sorunu
- Çocuk kullanıcılara şeffaf bilgi yeterince verilmemesi de GDPR ihlalleri arasında yer aldı
- “family pairing”, yetişkinlerin çocuk hesap ayarlarını kontrol etmesine olanak tanıyor ancak bağlanan yetişkinin gerçekten ebeveyn veya vasi olup olmadığını doğrulamıyordu
- Bu ayar üzerinden çocuk hesabına erişen yetişkinler, 16 yaş ve üzeri kullanıcıların doğrudan mesaj özelliğini etkinleştirebiliyordu
Duet·Stitch ve yaş doğrulama değerlendirmesi
- Duet ve Stitch, kullanıcıların diğer TikTok kullanıcılarının içerikleriyle kendi içeriklerini birleştirmesine olanak tanıyan özellikler
- DPC, bu özelliklerin 17 yaş altı kullanıcılar için varsayılan olarak etkin olduğunu açıkladı
- Ancak TikTok’un yaş doğrulama yönteminin kendisinin GDPR ihlali oluşturmadığı sonucuna vardı
Birleşik Krallık yaptırımının ardından gelen ek düzenleyici baskı
- Bu karar, TikTok’un Nisan 2023’te Birleşik Krallık veri düzenleyicisinden 12,7 milyon sterlin para cezası almasının ardından geldi
- Birleşik Krallık düzenleyicisi, TikTok’un ebeveyn onayı olmadan platformu kullanan 13 yaş altı 1,4 milyon çocuğun verilerini hukuka aykırı şekilde işlediğine karar vermişti
- O dönemde Bilgi Komiserliği Ofisi, TikTok’un platformu kimin kullandığını doğrulamak için “neredeyse hiçbir şey yapmadığını” değerlendirmişti
- TikTok, bu soruşturmanın 31 Temmuz 2020 ile 31 Aralık 2020 arasındaki gizlilik ayarlarını hedef aldığını ve gündeme getirilen sorunları çözdüğünü açıkladı
- 2021’den itibaren mevcut ve yeni 13-15 yaş hesapları varsayılan olarak gizli ayarlanıyor
- Gizli hesaplarda içerikleri yalnızca kullanıcının onayladığı kişiler görebiliyor
- TikTok, para cezasının düzeyine ve karara katılmadığını, DPC’nin eleştirilerinin üç yıl önceki özellik ve ayarlara odaklandığını savundu
- Ayrıca soruşturma başlamadan önce 16 yaş altı hesapları varsayılan olarak gizli yapacak değişiklikleri zaten uyguladığını da belirtti
Avrupa Veri Koruma Kurulu’nun müdahalesi
- DPC, kararın bazı bölümlerinde European Data Protection Board tarafından tutumunun değiştirildiğini kabul etti
- Bunun sonucunda Almanya düzenleyici kurumunun önerdiği değerlendirmeyi de dahil etmek zorunda kaldı
- Söz konusu değerlendirme, kullanıcıları belirli davranışlara veya seçimlere yönlendiren aldatıcı web sitesi ve uygulama tasarımı olan dark pattern kullanımının, kişisel verilerin adil işlenmesine ilişkin GDPR hükümlerini ihlal ettiği yönündeydi
1 yorum
Hacker News yorumları
“Aile bağlantısı” özelliğinde çocuk hesabı ayarlarını kontrol eden yetişkinin gerçekten ebeveyn ya da vasi olup olmadığını doğrulamamışlar deniyor; TikTok'un ebeveyn olup olmadığını tam olarak nasıl doğrulaması gerektiğini bilmiyorum
Diğer teknoloji şirketlerinden de ebeveyn doğrulaması isteniyor mu? Bu nedenle para cezası alan tek yer TikTok gibi görünüyor
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
Böyle emsal kararlara alkış tutarsak, popüler web sitelerini kullanmak için devlet kimliği ve uzaktan kimlik doğrulaması gereken bir yola gireceğiz gibi geliyor
90'lardan beri anonim internetin ve sinyal güçlendirmenin net olarak olumlu etkisi olduğu düşüncesi vardı, ama bunun giderek daha az doğru olduğu ortaya çıkıyor
Anonim olarak kendi içeriğini yayımlamak istiyorsan bunu yapabilirsin, ama en büyük 5 platformdan birini kullanma hakkının da garanti edilmesi gerekmiyor
Bu, büyük platformların parçalanmasına yol açarsa bunu da net bir olumlu etki olarak görürüm
Yakın zamanda TikTok kullanmaya başladım; canlı yayın için 1000 takipçi ve 18 yaş üstü olmak gerektiği yazıyor, ama pratikte çocukların canlı yayın yaptığını çok gördüm
Kendi kurallarını neden uygulamadıklarını merak ettim. Yayıncı sayısının çok fazla olmasından olabilir, ama sırf bu işe bakan tek bir kişi bile canlı yayın yapan gençleri ya da çocukları yeterince tespit edebilir
Bu yüzden bu karar yerinde
Yine de 13-18 yaşındakilerin neden yayın yapmasının yasaklanması gerektiğini sorguluyorum. Nedeni “pusuda bekleyen sapıklar” ise bu mantık sohbet kontrolü için geçerli olmazken burada neden geçerli olsun? TikTok'ta cinsel içeriğe izin verilmiyor; bikinili kadınlar görülebilir ama gerçek hayattaki halka açık plajlarda üstsüzleri bile görebilirsiniz. Başka gerekçe ne olabilir?
İyi bir başlangıç, ama AB veri yasalarının uluslararası şirketler yerine Avrupa şirketlerine de büyük ölçekte uygulanmaya başlanıp başlanmayacağını merak ediyorum
AB şirketleri GDPR'dan önce de veri korumaya daha dikkatli ve ciddi yaklaşma eğilimindeydi; bu yüzden ciddi ihlalciler bulmak da daha nadir
En azından ben AB hizmetleriyle muhatap olduğumda gizlilik politikaları birkaç A4 sayfasına sığıyor, önemli bilgiler başta yer alıyor ve kolay anlaşılır şekilde yazılmış oluyor. Bankalar bile ne topladıklarını saklamıyor, neden topladıklarını açıklıyor
Buna karşılık yabancı şirketler anlaşılması zor derecede devasa gizlilik politikalarında ısrar ediyor ve bunlarla yasayı dolanmaya çalışıyor. Örneğin Google'ın gizlilik sayfası, “Google senin hakkında bilgi toplayabilir” ifadesini tekrarlayan dev bir tek sayfaya yakın; verinin ne için kullanıldığı belirsiz ve ayrıntılı açıklamalar için büyük ölçüde başka sayfalara dayanıyor. Ortalama bir kişinin akışı çoktan kaybetmiş olması muhtemel
Sonuçta yabancı şirketler yasayı ihlal etseler bile sıyrılabileceklerini düşünüyor ve verinin nasıl kullanıldığını takip etmeyi zorlaştıran tarafa yöneliyor. Avrupa şirketleri genel olarak yasaya gerçekten uyma eğiliminde olduğundan büyük emsal kararlar yabancı teknoloji devlerine karşı çıkıyor
Ancak Avrupa şirketleri bunu genelde çok uluslu şirketlere kıyasla çok daha ciddiye aldı. Bazen aşırıya bile kaçıldı; bugünlerde biraz azalmış olsa da uyum için gerekli olduğuna yanlışlıkla inanıp veriyle ilgili saçma politikalar dayatan şirketler hâlâ ara sıra görülüyor
Öte yandan Avrupa şirketleri genelde daha küçük olduğu için cezalar da daha düşük oluyor ve bu yüzden manşetlere pek çıkmıyor. Avrupa şirketlerine verilen cezalar hâlâ olsa da onları sık duymamamızın nedeni bu. Açıkçası biz genellikle sadece devasa para cezalarını duyuyoruz
Tek bir ülke kararı için ceza oldukça büyük. Yıllık gelirin yaklaşık %2,6'sı, yani yaklaşık 10 günlük gelir
Bilerek X Corp değil Twitter diyorum; çünkü Musk, kötü şöhretli bir kararla Twitter Ireland'da uyum işlerinden sorumlu herkesi kovdu. Gereklilikler arasında, AB veri yasası ihlali olmaması için tüm özellik çıkışlarının İrlanda ekibi tarafından incelenmesi de varmış gibi görünüyor; ancak Musk, borçla yapılan satın almadan sonra getirdiği değişikliklerin hiçbirinde bunu yapmadı
Koltuk CEO'ları ne zaman “haha x, y gelirinin yanında kırıntı bile değil” gibi şeyler söylemeyi bırakacak? 345 milyon avronun ağaçta yetiştiğini mi sanıyorlar?
Para cezasına ek olarak birkaç aylığına ceza kutusuna koymak gerekir. Belirli bir süre o yargı alanında faaliyet göstermesini engellemek gibi
Yasak yerine başlangıç cezası olarak iyi bir başlangıç ve benim de sürekli talep ettiğim yöntem bu
Kullanıcı gizliliğini tekrar tekrar ihlal ediyorlarsa cezalar milyarlarca dolara kadar çıkarılmalı. Facebook'ta bunun emsali vardı
Büyük şirketlerin böyle şeyler yapıp sıyrılmaları için hiçbir mazeret yok; yüz milyonlarca ve üzeri kullanıcıya sahip tüm sosyal medya şirketleri, TikTok gibi kullanıcı gizliliğini ihlal ederse ceza almalı. Artık istisna ya da bahane olmamalı
Sonuçta TikTok da kendi kullanıcılarının gizliliğini mahvettiğinde Meta'dan farklı değil
Toplam ölçeğe bakınca büyük para gibi görünmüyor. Nispeten daha ağır bir ceza da uygun olurdu; belki de tüm ayrıntıları bilmiyorum
Hukuki mücadele bittiğinde çok daha küçük bir tutara düşürülme ihtimali de yüksek görünüyor
Bu para nereye gidiyor?
Cevabı bilmiyorsanız uydurup gerçekmiş gibi söylememelisiniz