Oluşan bir hata nedeniyle bazı üçüncü uygulamaların, kullanıcıların fotoğraflarına erişimine izin verilmesinde veri ihlali tespit eden Kişisel Verileri Koruma Kurulu, söz konusu durumu bildirmeyen, gerekli teknik önlemleri almayan Facebook'a toplam 1 milyon 650 bin lira idari para cezası verdi.
Kurul, internet üzerinden Facebook Mühendislik Direktörü Tomer Bar'ın, kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf "API hatası"nın keşfedildiğini açıklaması üzerine, veri ihlalinin bulunup bulunmadığı yönünde resen inceleme başlattı.
İnceleme sonucunda, hatanın 13-25 Eylül 2018'de 12 gün boyunca gerçekleştiğini belirleyen Kurul, hataya zamanında müdahale edilmediğini, bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin yaşandığını tespit etti.
Facebook'un kendi platformundaki veri akışını kontrol etme noktasında sıkıntılar yaşadığı görüşüne varan Kurul, Kişisel Verilerin Korunması Kanunu'nun 12. maddesinde yer alan veri güvenliğine ilişkin hükümlerin ihlal edildiği sonucuna ulaştı.
Kurul, yaşanan veri ihlalinin oluşmaması için kanunda öngörülen gerekli idari ve teknik tedbirlerin alınmadığını belirleyerek, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği gerekçesiyle Facebook'u 1 milyon 100 bin lira idari para cezasına çarptırdı.
Ayrıca, Kanunda yer alan "İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir" hükmü hatırlatılarak, veri ihlali nedeniyle gerekli bildirimde bulunulmaması nedeniyle Facebook'a 550 bin lira idari para cezası verilmesi de kararlaştırıldı.