Bu makale daha önce Erdem&Erdem Ortak Avukatlık Bürosu’nun websitesinde yayınlanmıştır.
Av. İdil Uz, Ocak 2021
Giriş
Dünya çapında en çok kullanılan çevrimiçi mesajlaşma uygulaması WhatsApp, 4 Ocak 2021 tarihinde gizlilik politikasında değişikliğe gideceğini duyurdu. WhatsApp yayımladığı duyuruda, i) kullanıcı verilerinin nasıl işlendiği, ii) işletmelerin, WhatsApp sohbetlerini saklamak ve yönetmek için Facebook tarafından barındırılan hizmetleri nasıl kullandığı, iii) Facebook Şirket Ürünleri’nde entegrasyonlar sunmak için Facebook ile nasıl çalışıldığı konularında önemli değişiklikler gerçekleştirileceğini açıkladı. Buna ek olarak, kişisel verilerin işlenmesi ve aktarımı konusunda önemli değişiklikler içeren bu güncellemeyi kabul etmeyen kullanıcıların 8 Şubat 2021 tarihi itibariyle uygulamayı kullanmaya devam edemeyeceği belirtildi. Bunun üzerine rekabet hukuku ve kişisel verileri koruma hukuku otoriteleri başta olmak üzere birçok kişi ve kurum alarma geçerek konu hakkında inceleme başlattığını duyurdu.
Bu makalede WhatsApp’ın gizlilik politikasında gerçekleştireceğini duyurduğu değişiklikler ve bunun üzerine yaşanan gelişmeler ile Whatsapp’ın konu hakkındaki açıklamalarına değinilecek olup, söz konusu değişiklik kişisel verilerin korunması mevzuatı ve Kişisel Verileri Koruma Kurumu kararları çerçevesinde değerlendirilecektir.
WhatApp’ın Gizlilik Politikasında Gerçekleşecek Değişiklik Neler İçeriyor[1]?
Kullanıcının Bulunduğu Bölgeye Göre Veri Sorumlusunun ve Gizlilik Politikasının Farklılık Göstermesi
Yayımlanan yeni gizlilik politikasına göre, Avrupa Bölgesi dışında ikamet eden kullanıcılara veri sorumlusu olarak WhatsApp LLC tarafından, işbu güncellenmiş gizlilik politikasına tabi olarak hizmet sağlanacaktır. Buna karşılık, kullanıcı Avrupa Bölgesi içinde yaşıyorsa, veri sorumlusu olarak WhatsApp LLC yerine WhatsAppIreland Limited tarafından, başka bir gizlilik politikasına tabi olarak hizmet sağlanacağı belirtilmiştir. Dolayısıyla Avrupa Genel Veri Koruma Tüzüğü’ne (GDPR) tabi ülkelerde söz konusu güncelleme hayata geçirilmediği söylenebilir.
İşlenen Veriler
WhatsApp güncellenen gizlilik politikasıyla birlikte, otomatik olarak hâlihazırda topladığı kullanım ve kayıt bilgileri, konum bilgileri, cihaz ve bağlantı bilgileri, WhatsApp hesap bilgileri, -belirli durumlarda- mesajlar, kullanıcıların bağlantıları, kullanıcının durum bilgisi, çerezler ve müşteri desteği bilgilerinin yanı sıra; işlem ve ödeme verileri, başkalarının (üçüncü kişilerin) kullanıcı hakkında sağladığı bilgiler ve kullanıcı şikâyetlerine ilişkin bilgileri de işleyeceğini açıkladı.
Güncellenen gizlilik politikasına göre, WhatsApp tarafından sağlanacak ödeme hizmetlerinin ya da satın alma veya diğer finansal işlemler için sunulan hizmetlerin kullanılması halinde, ödeme hesabı ve işlem bilgileri dâhil olmak üzere bir takım ek bilgiler işlenecektir. Ödeme hesabı ve işlem bilgilerinin ise, bu hizmetin kullanılması ve ödeme işleminin tamamlaması için gerekli olan, örneğin ödeme yöntemi, gönderim ayrıntıları ve işlem tutarı gibi bilgiler olduğu belirtilmiştir.
Buna ek olarak, başkalarının da (üçüncü kişiler) kullanıcı hakkında Whatsapp’a ve Facebook da dâhil olmak üzere üçüncü taraf hizmet sağlayıcılara bilgi sağlayabileceği düzenlenmiştir. Buna göre, bir işletmenin bir üçüncü taraf hizmet sağlayıcısına saklaması, okuması, yönetmesi veya başka bir şekilde işlemesi amacıyla kullanıcılarla olan iletişimlerine erişim verebileceği belirtilmiştir.
Veri Aktarımı
WhatsApp, Facebook Şirketlerinin bir parçası olduğunu ve hizmetlerini yürütmesi, sağlaması, iyileştirmesi, özelleştirmesi, desteklemesi ve pazarlamasına yardımcı olması için üçüncü taraf hizmet sağlayıcılarıyla ve diğer Facebook Şirketleri’yle veri paylaşacağını beyan etmiştir.
Veri İşleme ve Aktarma Amaçları
Yukarıda sayılan verilerin, uygulamalara ilişkin teknik ve fiziksel altyapı sağlamak, mühendislik, siber güvenlik ve işletim desteği sağlamak, konum, harita ve yer bilgileri sağlamak, kullanıcıların hizmetleri nasıl kullandığını anlamak, hizmetleri pazarlamak, hizmetleri kullanarak işletmelerle bağlantı kurulmasına yardımcı olmak, anketler ve araştırmalar yaptırmak, güvenliği, emniyeti ve bütünlüğü temin etmek, müşteri hizmetleri yardımı sunmak, içeriği kişiselleştirmek, satın alımları ve işlemleri tamamlamanıza yardımcı olmak ve Facebook Şirketi Ürünleri genelinde ilgili teklifler ve reklamlar göstermek gibi amaçlarla işlendiği ve üçüncü taraf hizmet sağlayıcılarıyla ve diğer Facebook Şirketleri’yle paylaşıldığı belirtilmiştir.
Değişiklik Üzerine Yaşanan Gelişmeler
WhatsApp’ın 4 Ocak 2021 tarihinde gizlilik politikasında gerçekleştireceği değişikliği duyurmasının ardından Rekabet Kurulu, 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında Facebook Inc., Facebook Ireland Ltd., WhatsAppInc. veWhatsApp LLC hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edilip edilmediği hakkında re’sen soruşturma başlattığını duyurdu[2]. Bunun üzerine, 12.01.2021 tarihinde Kişisel Verileri Koruma Kurumu da bir kamuoyu duyurusu yayımlayarak, WhatsApp Gizlilik İlkeleri ve Facebook Şirketlerine veri aktarımı hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde re’sen inceleme başlattığını duyurdu ve yaptığı ön değerlendirme sonucunu paylaştı[3].
WhatsApp’in Açıklamaları
Başlatılan re’sen soruşturmalar ve kamuoyunda tartışmalar yaratan spekülasyonlar üzerine WhatsApp, WhatsApp’ın Gizlilik İlkesi ile ilgili sorularınızı cevaplıyoruz[4] ve Yeni işletme özellikleri ve WhatsApp’ın Gizlilik İlkesi güncellemesi hakkında[5] başlığıyla tartışmalara cevaben açıklamalar yayımladı. Açıklamalarda WhatsApp, kullanıcıların kişisel mesajlarının ve aramalarının içeriğinin, kendileri ve Facebook tarafından görülemediği/dinlenemediği ve kullanıcının bağlantılarının Facebook’a aktarılmadığını açıklamıştır. Devamında, kişisel mesajların uçtan uca şifreleme mekanizması (EndtoEndEncryption/E2E, Signal şifreleme protokolü)[6] ile korunduğu belirtilmiştir. İlgili açıklamalara göre, gizlilik politikasındaki güncelleme ile değişikliğe uğrayan veri işleme ve aktarma faaliyetleri, yeni sunulacak hizmetin kullanılması sırasında işletmelerle sağlanan iletişim için geçerli olacaktır.
Buna göre, WhatsApp Business uygulamasını kullanan veya müşteri mesajlarını kendi kendine yönetip depolayan işletmelerle yapılan sohbetler de uçtan uca şifrelidir. Mesaj, iletildikten sonra işletmenin kendi gizlilik uygulamalarına tabidir ve işletme mesajı işleyip yanıtlaması için çeşitli çalışanlarını, hatta başka tedarikçileri de görevlendirebilir. Buna ek olarak bazı işletmeler, mesajları güvenli bir şekilde depolaması ve müşterilere yanıt vermesi için WhatsApp’ın ana şirketi olan Facebook ile çalışabilmektedir. Bu durumda veri aktarımı gerçekleştirilmektedir.
Gizlilik Politikasındaki Değişikliğin Kişisel Verilerin Korunması Mevzuatı Çerçevesinde Değerlendirilmesi
Bilindiği üzere kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunludur.
Bundan ayrı olarak, KVKK madde 5 uyarınca genel nitelikli kişisel verilerin işlenebilmesi ve aynı şekilde madde 8 uyarınca yurt içinde aktarılabilmesi ancak, kanunda sınırlı sayıda sayılan hukuka uygunluk nedenlerinin varlığı veya -bunların somut olaya uygulanamaması halinde ise- veri sahibinin açık rızasının varlığı ile mümkündür. Buna göre kişisel veriler,
- kanunlarda açıkça öngörülmesi,
- fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
- bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, ve
- ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması
hallerinden birinin mevcudiyeti halinde veri sahibinin açık rızası olmaksızın işlenebilecek ve yurt içinde aktarılabilecektir.
Kişisel verilerin yurt dışına aktarımını düzenleyen madde 9 uyarınca ise, kişisel veriler veri sahibinin açık rızasının varlığı ile yurt dışına aktarılabilir. Bunun yanı sıra kişisel veriler ancak, yukarıda sıralanan hukuka uygun sebeplerinden birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkenin; i) Kişisel Verileri Koruma Kurumu’nun ilan ettiği yeterli korumaya sahip ülkelerden biri olması, veya ii) yeterli korumanın bulunduğu ülkelerden olaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun söz konusu yurt dışı aktarımı konusunda izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Yukarıda açıklanan hususlardan anlaşılacağı üzere çoğu durumda veri sahibinin gerçekleştirilecek işleme (aktarma faaliyeti de dâhil) faaliyetleri için açık rıza vermesi gerekir. KVKK madde 3/1,a’da açıkça düzenlendiği üzere açık rıza, i) belirli bir konuya ilişkin, ii) bilgilendirilmeye dayanan ve iii) özgür iradeyle açıklanan rızayı ifade eder. Bahsi geçen üç geçerlilik koşuluna ek olarak açık rızaya ilişkin kuralları düzenleyen Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği uyarınca veri işlemeye ilişkin yapılacak bilgilendirmenin ve alınacak rızanın ayrı ayrı gerçekleştirilmesi gerekir. Ayrıca yerleşik Kişisel Verileri Koruma Kurul’u kararları ve yayımlanmış rehberler uyarınca, açık rızanın hizmet şartına bağlanması temel geçerlilik koşullarından biri olan özgür iradenin sakatlanması ve dolayısıyla açık rızanın geçersizliği anlamına gelir[7]. Ayrıca, yalnızca belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan, birçok farklı işleme faaliyetini içeren genel nitelikli battaniye rızalar da geçersiz kabul edilir[8].
Son olarak Kişisel Verileri Koruma Kurulu kararları uyarınca, veritabanları yurt dışında bulunan veri sorumlularından/veri işleyenlerden saklama hizmeti temin edilmesinin de yurt dışına veri aktarımı olduğu kabul edilir[9].
Sonuç
Yukarıda açıklanan tüm hususlar değerlendirildiğinde, Kişisel Verileri Koruma Kurulu yapacağı incelemede; i) veri işleme ve aktarma faaliyetlerine ilişkin WhatsApp tarafından gerçekleştirilen aydınlatmanın sahip olması gereken koşulları taşıyıp taşımadığı, ii) aydınlatma ve açık rıza işlemlerinin ayrı ayrı gerçekleştirilip gerçekleştirilmediği, iii) yurt dışı aktarımına ilişkin ayrı açık rıza alınıp alınmadığı, iv) açık rızanın battaniye rıza şeklinde alınıp alınmadığı, v) değişikliğe onay verilmemesi halinde uygulamayı kullanmaya devam edilemeyeceğinin belirtilmesinin açık rızanın hizmet şartına bağlandığı anlamına gelip gelmediği, vi) veri sahiplerinin özgür iradelerinin sakatlanıp sakatlanmadığı, ve vii) WhatsApp, Facebook’un da dahil olduğu yurt dışında yerleşik hizmet sağlayıcılara veri aktarımı yapmasa dahi, WhatsApp’ın sunucularının yurt dışında bulunması nedeniyle yurt dışı veri aktarımının halihazırda mevcut olup olmadığı değerlendirilebilir. Konu hakkında Kişisel Verileri Koruma Kurulu’nun yapacağı inceleme ve değerlendirme üzerine WhatsApp LLC veri işleme ve yurt dışına aktarımın hukuka uygun gerçekleştirilmesi adına veri sorumlusu talimatlandırılabilir ve bazı işlemleri için idari para cezalarıyla karşı karşıya kalabilir.
Son olarak WhatsApp’ın VERBİS kayıt yükümlülüğünü de yerine getirmediği görülmektedir. Kişisel Verileri Koruma Kurulu yapacağı incelemede bu konuda da bir değerlendirme yapabilecektir.
[1] WhatsApp Gizlilik İlkesi. https://www.whatsapp.com/legal/updates/privacy-policy/?lang=tr (Erişim Tarihi: 21.01.2021)
[2] Rekabet Kurulu 11.01.2021 tarihli ve 21-02/25-M sayılı kararı https://www.rekabet.gov.tr/tr/Guncel/rekabet-kurulu-facebook-ve-whatsapp-hakk-14728ae4f653eb11812700505694b4c6 (Erişim Tarihi: 21.01.2021)
[3] Kişisel Verileri Koruma Kurumu’nun 12.01.2021 tarihli WhatsApp Uygulaması Hakkında Kamuoyu Duyurusuhttps://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU (Erişim tarihi: 21.01.2021).
[4] WhatsApp’ın Gizlilik İlkesi ile ilgili sorularınızı cevaplıyoruz. https://faq.whatsapp.com/general/security-and-privacy/answering-your-questions-about-whatsapps-privacy-policy (Erişim tarihi: 21.01.2021).
[5] Yeni işletme özellikleri ve WhatsApp’ın Gizlilik İlkesi güncellemesi hakkında https://faq.whatsapp.com/general/security-and-privacy/about-new-business-features-and-whatsapps-privacy-policy-update?lang=tr (Erişim tarihi: 21.01.2021).
[6]“Uçtan uca şifreleme özelliği, gönderilen içeriklerin yalnızca siz ve iletişim kurduğunuz kişi tarafından okunabilmesini veya dinlenebilmesini sağlar. Böylece WhatsApp dahil olmak üzere aradaki hiçbir taraf gönderilen içerikleri okuyamaz veya dinleyemez. Bunun nedeni, uçtan uca şifreleme özelliğinin mesajlarınızı bir kilitle güvence altına alması ve kilidi açıp mesajları okuyabilmek için gereken özel anahtarın yalnızca mesajlarınızın alıcısında ve sizde bulunmasıdır.”https://www.whatsapp.com/security/ (Erişim tarihi: 21.01.2021).
[7] Kişisel Verileri Koruma Kurulunun 16.02.2018 tarihli ve 2018/19 sayılı Kararı https://kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi; Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti https://www.kvkk.gov.tr/Icerik/5496/2019-81-165 (Erişim tarihi: 21.01.2021).
[8] Açık Rıza Alırken Dikkat Edilecek Hususlar https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar (Erişim tarihi: 21.01.2021).
[9] Kişisel Verileri Koruma Kurulunun 31.05.2019 Tarihli ve 2019/157 Sayılı Karar Özeti https://www.kvkk.gov.tr/Icerik/5493/2019-157 (Erişim tarihi: 21.01.2021).