TR-TR 
EN-US 
Bir milyardan fazla indirme ile TikTok (önceki adıyla Musical.ly) popüler kültürün en çekici sosyal medya platformlarından biri haline geldi. Uygulamanın popülerliği küresel olarak yayıldıkça, devletlerin denetimine takılması da kaçınılmaz oldu ve birçok benzeri gibi TikTok da veri güvenliği ve yabancı yatırıma yönelik endişelerin farklı yetki sınırlarının ulusal güvenlik yasa ve politikalarına temas eden yönleriyle mercek altına alındı.
ABD Perspektifi: Ulusal Güvenlik için Büyük Tehdit
Çin Halk Cumhuriyeti (“Çin”) ve Amerika Birleşik Devletleri (“ABD”) arasındaki ekonomik savaşın yansımaları, zaman zaman yaptırımlar veya ihracat düzenlemeleri gibi farklı konular üzerinde doğrudan etkisini göstermektedir. TikTok, Çin'deki geliştiriciler tarafından oluşturulması ve hassas bilgilere erişim yetkisi olan veya ileride olabileceği ön görülen ABD devlet çalışanları bilgilerinin ifşa edilebileceği veya tehlikeye girebileceği düşünülerek, bazı ABD yetkilileri tarafından potansiyel bir güvenlik tehdidi olarak görülmektedir.
ABD yetkili makamları tarafından konuya ilişkin alınan aksiyonlardan biri, ABD Savunma Bakanlığı, ABD Donanması ve ABD Ordusu çalışanlarının konum verileri veya arama motoru geçmişi gibi günlük etkinliklerine dair verilerinin toplanması ve ulusal güvenliğe ilişkin olabilecek bu verilerin ifşa edilmesi yahut espiyonaj amacıyla kullanılması ihtimaliyle çalışanlarını uygulamayı indirmekten veya kullanmaktan kaçınmaya davet etmesi oldu. Ek olarak 12 Mart 2020 tarihinde Senatör Josh Hawley, devlet tarafından hükümet çalışanlarına tahsis edilen (şu anda hükümet çalışanı olarak görev yapmayanlar ancak ileride yapabilecek olanlar dahil) mobil cihazlarda ilgili uygulamanın kullanımının ve indirilmesinin yasaklanması gerektiğini ileri süren “No TikTok on Government Devices Act” başlıklı yasa tasarısını senatoya sundu.
Yabancı Yatırımcı Düzenlemeleri
Amerika Birleşik Devletleri Yabancı Yatırım Komitesi (“CFIUS”), TikTok’un ana şirketi ByteDance’in 2018 yılında Amerikan şirket Musical.ly’i satın alırken CFIUS’tan izin almaması nedeniyle TikTok hakkında bir soruşturma başlattı. Bu durumun stratejik açıdan önemli ABD’li şirketlerin, ABD vatandaşı olmayanlar tarafından kontrolüne yol açan ticari işlemler üzerinde denetim ve kontrol yetkisine sahip CFIUS’un, ByteDance ile Musical.ly (şu anda TikTok) birleşmesinin geri almasına yönelik işlemler tesis edebileceği şeklinde değerlendirmelere konu olmaktadır. Birleşmenin geri alınmasını takiben satıma karar verilmesi hali ise CFIUS’un ilk defa Çin merkezli bir şirketin hisselerinin satımı yönünde aksiyon aldığı ilk karar olmayacaktır. Nitekim CFIUS daha öncesinde ulusal güvenlik riski teşkil ettiği gerekçesiyle Amerikan randevu uygulaması Grindr’ın Çin merkezli Kunlun Tech tarafından satın alınması işlemini geri alarak, şirketin tekrar satılmasına karar verilmişti. Aynı yaptırımlar ByteDance’ın Çin hükümeti ile yakın ilişkisi sebebiyle TikTok’a da uygulanabilme ihtimali seyretmektedir. Nitekim ByteDance’ın Çin devleti ait bir medya grubu ile ortak girişim ilişkisi içerisinde olması devlet ile yakın ilişki içerisinde olmasına sebep olmakta ve buna bağlı olarak ulusal güvenlik tehditleri bağlamındaki endişeleri arttırdığı ifade edilmektedir.
İstihbarat Faaliyeti Yükümlülükleri
ABD yetkili mercileri tarafından 2019 yılında TikTok’a ana kuruluşu olan ByteDance’in tabi olduğu hukuki yükümlülüklerin oluşturduğu güvenlik endişeleri sebebiyle soruşturma başlatılmıştır. Çin Milli İstihbarat Kanunu hükümlerine tabi olan ByteDance, Çin devleti tarafından yürütülen istihbarat faaliyetleri kapsamında sahip olduğu uygulamalar aracılığı ile toplanan, kullanıcılara ait konum, resim ve biyometrik vb. verilerin aktarımını gerektirecek şekilde işbirliği yapmaya zorlanabilecek hukuki duruma konudur.
Konuya ilişkin olarak her ne kadar 5 Kasım 2019 tarihinde TikTok tarafından yayımlanan bir bildiri ile, ABD vatandaşlarının verilerine yalnızca ABD vatandaşı olan TikTok çalışanları tarafından erişilebildiği ve bu verilerin işlenmesinin Çin kanunlarına tabi olmadığı belirtilmiş olsa da ABD hükümet yetkilileri tarafından bu açıklama milli güvenliğe ilişkin kaygıları gidermeye yeterli görülmemiştir.
Avrupa Veri Koruma Kurulu Görev Grubu Kuruyor
10 Haziran 2020 tarihinde Avrupa Veri Koruma Kurulu (“AVKK”) otuz birinci genel kurulu sırasında “potansiyel eylemleri koordine etmek ve TikTok’un AB çapında işleme faaliyetleri ve uygulamaları hakkında daha kapsamlı bir genel bakış elde etmek” amacıyla bir görev grubu kurulmasına karar verdiğini duyurdu. AVKK ilgili kararı öncesinde, Hollanda Veri Koruma Otoritesi de 8 Mayıs 2020 tarihinde TikTok’u küçüklerin kişisel verilerinin işlenmesi çerçevesinde inceleyeceğini duyurmuştu.
Kişisel Verilerin Üçüncü Bir Ülkeye Aktarılması
Yukarıda bahsedildiği üzere, TikTok’un tabi olduğu hukuki düzenlemeler uygulama kapsamında işlenen tüm kişisel verilerin yurtdışına aktarılmasına yol açabilecektir. 2016/679 sayılı Genel Veri Koruma Tüzüğü (“GVKT”) uyarınca, kişisel veriler Avrupa Birliği/Avrupa Ekonomik Alanı’nın yetki alanına tabi olan bir veri sorumlusu tarafından üçüncü bir ülkeye veya uluslararası bir kuruluşa ancak ilgili kişi hakları çerçevesinde yeterli veri koruma düzeyinin sağlanması halinde aktarılabilir.
Ek olarak, Çin’e veri aktarımını gerektirebilecek olan ilgili hukuki yükümlülüklerin uygulama üzerinden toplanan kişisel verilerin Çin’de bulunan kamu kuruluşlarına aktarılmasını gerektirmesi halinde, ilgili aktarım ve takip eden işleme faaliyeti ilgili kişilere GVKT m. 13 ve 14 uyarınca gerekli bilgi sağlanmadan yapılmış olacaktır.
Çocuklarının Kişisel Verilerinin İşlenmesi
Hiç şüphesiz ki çocuklar, veri işleme faaliyetlerinin barındırdıkları riskler bakımından yetişkinlere nazaran daha az farkındalığa sahip olduklarından kişisel verilerinin toplanması ve işlenmesi halinde daha özel ve detaylı bir veri koruma mekanizmasına ihtiyaç duymaktadırlar. TikTok, birçok sosyal medya platformu gibi, kullanıcılarının uygulama kapsamında kişisel verilerinin işlenmesine ilişkin yasal olarak rıza verebilmeleri için öngörülen ulusal yaş gerekliliklerini karşıladıklarını ifade eden bir şart ve koşullar metnini kabul etmelerini zorunlu kılmaktadır. Ancak bu tür şartlar ve koşulların ek yeterli güvenceler sağlanmadan uygulamayı kullanabilmek için kullanıcılara dayatılmasının, GVKT kapsamında tasarımdan ve başlangıçtan itibaren (Data protection by design and by default) verilerin korunmasını gerektiren veri koruma ilkelerini karşılayıp karşılamadığı belirsizdir. Bu doğrultuda anılan soruşturmaların gelecek aylarda sonuçlanması beklenmektedir.
Soruşturmaların Öncesi
2019 yılında TikTok, Çocukların Gizliliğinin Çevrimiçi Korunması Yasası çerçevesinde küçüklerin verilerinin hukuka aykırı olarak toplanması ve on üç yaşından küçüklerin adı, soyadı, e-posta adresi gibi kişisel verilerinin toplanmasından önce ebeveynlerin rızasının alınmamasına ilişkin iddialar üzerine açılan soruşturma kapsamında, ABD Federal Ticaret Komisyonu ile tazminat ödeme konusunda anlaşarak uzlaşmıştı.
Benzer şekilde Bilgi Komisyonu Ofisi tarafından da 2019 yılında aynı perspektifle TikTok’a karşı soruşturma başlatılmıştı. Bu gelişmeleri takiben TikTok tarafından “yaş kapısı” olarak adlandırılan önlem mekanizması devreye sokulmuş ve hukuka aykırı işlenen kişisel veriler platformdan kaldırılmıştı.
Şafak Herdem, Aslı Naz Ünlü, Deniz Çelikkaya
