info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Veri Güvenliği ve TikTok

23 Eki 2025
0

1. Giriş

Sosyal medya, modern çağın en güçlü iletişim araçlarından biri haline gelmiştir. Ancak bu araçların büyümesiyle birlikte veri güvenliği ve kişisel gizlilik riskleri de artmıştır.
Son yıllarda en çok tartışılan uygulamalardan biri TikTok olmuştur.
Çin merkezli bu platformun kullanıcı verilerini nasıl topladığı, işlediği ve paylaştığı; sadece teknik değil, aynı zamanda hukuki bir tartışma konusudur.

TikTok’un topladığı veri türleri — yüz tanıma, ses, konum, cihaz ID’si, kullanım davranışları — sadece sosyal medya deneyimi değil, kişisel mahremiyetin sınırlarını da belirlemektedir.
Bu nedenle TikTok, KVKK, AB Genel Veri Koruma Tüzüğü (GDPR) ve ABD veri güvenliği yasaları bağlamında birçok ülkede denetim altına alınmıştır.

2. KVKK Kapsamında Veri Güvenliği İlkeleri

2.1. Temel İlkeler

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) veri güvenliği için üç temel ilke belirler (m.4):

  1. Hukuka ve dürüstlük kurallarına uygun olma,

  2. Doğru ve güncel olma,

  3. Belirli, açık ve meşru amaçlarla işlenme.

TikTok gibi sosyal medya platformlarının bu ilkelere uyması zorunludur. Ancak uygulamada çoğu zaman “açık rıza” metinleri soyut, uzun ve kullanıcıyı bilgilendirmekten uzak kalmaktadır.

2.2. Açık Rızanın Geçerliliği

KVKK m.5 uyarınca kişisel veriler, açık rıza olmaksızın işlenemez.
Rızanın geçerli olabilmesi için;

  • Belirli bir konuya ilişkin,

  • Bilgilendirmeye dayalı,

  • Özgür iradeyle verilmiş olması gerekir.

TikTok’un “tüm cihaz verilerine erişim” şeklindeki geniş rıza metinleri bu üç kriteri tam karşılamadığı için eleştirilmektedir.
Bu durum, “rıza manipülasyonu” olarak nitelendirilir.

3. TikTok’un Veri İşleme Politikası

TikTok kullanıcı sözleşmesine göre;

  • Kullanıcıların videoları, beğenileri, takipçileri, IP adresleri, cihaz bilgileri, konum verileri toplanır.

  • Bu veriler “hizmet kalitesini artırmak ve algoritmayı geliştirmek” amacıyla kullanılır.

  • Veriler, yurt dışında (özellikle Singapur ve ABD sunucularında) saklanır.

Bu politika, KVKK m.9 (yurt dışına veri aktarımı) bakımından ciddi sorunlar yaratır.

4. Yurt Dışına Veri Aktarımı Sorunu

4.1. KVKK m.9 Gereği

Kişisel veriler, yurt dışına yalnızca:

  1. Kişinin açık rızasıyla,

  2. Kişisel Verileri Koruma Kurulu tarafından yeterli koruma sağlanan ülkelere,

  3. Yazılı taahhüt ve Kurul izniyle aktarılabilir.

Ancak TikTok’un veri akışında bu şartların sağlanmadığı, verilerin Çin ve üçüncü ülkelere aktarıldığı iddia edilmektedir.
Bu nedenle KVKK Kurulu, 2023 yılında TikTok hakkında yurt dışına izinsiz veri aktarımı gerekçesiyle 1.750.000 TL idari para cezası uygulamıştır.

4.2. Uluslararası Karşılaştırma

  • AB (GDPR): Veri aktarımı “adequacy decision” kapsamında yapılabilir.

  • ABD: Federal düzeyde tek veri koruma yasası bulunmamakta, eyalet bazlıdır.

  • Çin: Verilerin ülke dışına aktarımı için “güvenlik değerlendirmesi” zorunludur.

TikTok’un veri altyapısı bu karmaşık hukuki düzenler arasında kalmakta; bu da platformun küresel faaliyetlerini sürekli tartışma konusu yapmaktadır.

5. Veri Güvenliğinin Teknik Boyutu

KVKK m.12 gereği veri sorumluları şu tedbirleri almak zorundadır:

  1. Yetkisiz erişimi önleme,

  2. Veriyi şifreleme,

  3. Erişim loglarını tutma,

  4. Veri bütünlüğünü koruma,

  5. Güvenlik testleri (penetration test).

TikTok bu tedbirleri uyguladığını belirtse de, arka planda veri analitiği için 3. taraf SDK’lar (software development kit) kullanması, veri sızıntısı riskini artırmaktadır.

6. Çocukların Kişisel Verileri

TikTok kullanıcılarının büyük bölümü 13–18 yaş aralığındadır.
Bu grup, “özel koruma gerektiren kişiler” kategorisindedir.
KVKK m.5/2-d gereği “rızanın temsilci tarafından verilmesi” gerekir.
TikTok’un uygulamada ebeveyn onay mekanizmasını etkin işletmediği, çocuk verilerinin pazarlama algoritmalarında kullanıldığı tespit edilmiştir.

Bu durum, hem KVKK’ya, hem de Çocuk Haklarına Dair Sözleşme m.16’ya aykırıdır.

7. Veri İhlali Bildirimi

KVKK m.12/5’e göre veri ihlali meydana geldiğinde,

  • En geç 72 saat içinde Kurula,

  • En kısa sürede ilgili kişiye bildirim yapılmalıdır.

TikTok’un geçmişte yaşadığı bazı veri sızıntılarını zamanında bildirmediği iddia edilmiştir.
Bu tür ihmaller, idari para cezası yanında tazminat sorumluluğu da doğurur.

8. Veri İşleme ve Profil Oluşturma (Profiling)

TikTok’un algoritması, kullanıcı davranışlarını analiz ederek profil çıkarımı yapar.
Bu süreç, “özel nitelikli veri işleme”ye dönüşebilir.
Örneğin:

  • Kullanıcının siyasi görüşü,

  • Cinsiyeti,

  • Etnik kökeni,

  • Duygusal tepkileri tahmin edilebilir.

Bu analizler açık rıza olmadan yapılırsa, KVKK m.6 kapsamında ihlal sayılır.
Kurul, “profil oluşturma algoritmalarının şeffaf olması gerektiğini” vurgulamaktadır.

9. Veri Sorumluluğu, Ortak Sorumlular ve Yetki Sorunu

TikTok Türkiye ofisi, “veri sorumlusu” sıfatını taşır.
Ancak veriler yurt dışında işlendiği için ortak veri sorumluluğu söz konusudur.
Bu durumda;

  • TikTok Ltd. (İngiltere),

  • ByteDance (Çin),

  • TikTok Turkey (İstanbul)
    birlikte sorumludur.

Yetki bakımından, Türk kullanıcı verisi Türkiye’de işlendiği ölçüde KVKK uygulanır (m.2/2).
Yani yabancı platformlar da Türk kullanıcılar açısından sorumludur.

10. Kullanıcının Hakları

KVKK m.11 gereği her kullanıcı şu haklara sahiptir:

  • Hangi verilerin işlendiğini öğrenmek,

  • İşleme amacını bilmek,

  • Yurt dışına aktarılıp aktarılmadığını öğrenmek,

  • Düzeltme, silme, anonimleştirme talep etmek,

  • İhlal halinde tazminat istemek.

Bu talepler TikTok’a yazılı olarak veya e-posta yoluyla iletilir.
Cevap verilmemesi hâlinde Kişisel Verileri Koruma Kurulu’na şikâyet mümkündür.

11. TikTok ve Toplumsal Etki

Veri güvenliği tartışmasının ötesinde TikTok, toplumsal davranış kalıplarını değiştiren bir platformdur.
Bu nedenle bazı ülkeler (ABD, Hindistan, Kanada) kamu çalışanlarının TikTok kullanmasını yasaklamıştır.
Türkiye’de de kamu kurumlarında benzer kısıtlamalar gündeme gelmiştir.

Bu adımlar, platformun yalnızca teknolojik değil, politik bir mesele haline geldiğini göstermektedir.

12. Uygulamada Koruma Önlemleri

  1. Kullanıcılar gizlilik ayarlarını maksimum düzeye getirmeli.

  2. Uygulama izinleri (kamera, mikrofon, konum) sınırlandırılmalı.

  3. VPN veya güvenli bağlantı tercih edilmeli.

  4. Uygulama güncellemeleri düzenli yapılmalı.

  5. Çocuk kullanıcılar ebeveyn denetimi altında olmalı.

Hukuki açıdan ise;

  • TikTok Türkiye temsilciliği VERBİS kaydı yaptırmalı,

  • Açık rıza metinlerini Türkçe, sade ve bilgilendirici hale getirmeli,

  • KVKK Kurulu denetim raporlarını kamuya açıklamalıdır.

13. Hakkaniyet ve Hukuki Değerlendirme

Veri güvenliği bir “teknik sorumluluk” değil, bir temel hak meselesidir.
Kişisel verinin korunması hakkı, Anayasa m.20/3’te güvence altındadır.
Bu nedenle devlet, vatandaşın verisini korumakla yükümlüdür.

TikTok gibi platformlar ise sadece “kullanıcı sözleşmesiyle” bu yükümlülükten kurtulamaz.
Sözleşmesel rıza, temel hakları sınırlama aracı olamaz.
Bu, Anayasa Mahkemesi’nin 2016 tarihli kararlarında da açıkça vurgulanmıştır.

14. Sonuç

TikTok örneği, dijital çağda veri güvenliği konusunun yalnızca teknik değil, hukukun merkezinde bir mesele olduğunu göstermiştir.

Sonuç olarak:

  • TikTok’un veri toplama süreçleri KVKK m.9 ve m.12 ile tam uyumlu değildir.

  • Açık rıza metinleri şeffaf olmalıdır.

  • Yurt dışına veri aktarımında Kurul izni zorunludur.

  • Çocuk verileri özel koruma altındadır.

  • Türkiye’de TikTok, VERBİS kaydıyla veri sorumluluğunu üstlenmek zorundadır.

Veri güvenliği; bireyin mahremiyetini, ifade özgürlüğünü ve kişilik hakkını korur.
Bu sebeple dijital platformların, artık sadece “uygulama” değil, hukuki özne gibi sorumluluk taşıdığı bir döneme girmiş bulunuyoruz.

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button