Kişisel Verileri Koruma Kurulu, 03.09.2021 tarihinde yayınladığı kararla Whatsapp’a 1.950.000 TL idari para cezası vermiştir. Kurul, kararda ilkelere, açık rızanın unurlarına aykırılıkları, rızanın sözleşme ile alınması gibi durumları değerlendirmiştir. 

Whatsapp, Şubat 2020’de gizlilik sözleşmesini değiştirmek istemiş kabul etmeyenlerin uygulamayı kullanamayacağını belirtmiştir. Bunun üzerine oldukça fazla tepki almış ve bu yöndeki uygulamasını ertelemiştir. 

Ancak veri koruma mevzuatına uygun olmayan bu uygulama ve gizlilik sözleşmesi hem Türkiye hem de yurt dışında Whatsapp hakkında soruşturma başlatılmasına neden olmuştur. soruşturma sonucu İrlanda Veri Koruma Kurumu da Whatsapp’a  idari para cezası uygulanması yönünde karar vermiştir.

BUSE İLTE

Whatsapp 8 şubatta mevcut gizlilik sözleşmesini değiştireceğini kabul etmeyenlerin ise uygulamayı kullanamayacağını açıklamıştı. Ancak kullanıcıların tepkileri ve diğer haberleşme uygulamalarını kullanmaya başlaması nedeniyle sözleşmenin yürürlük tarihi 15 Mayıs tarihine ertelenmiştir. 

Whatsapp’ın, faq.whatsapp.com sayfasında, 15 Mayıs’ı işaret ederek yayınlandığı “Yürürlük tarihinde ne olur?” açıklamasında sözleşmeyi onaylamayan hesaplar 120 gün boyunca ‘pasif’ olacağı ve bu süre zarfında söz konusu kullanıcılara yeni sözleşmeyi geri dönüp kabul etme şansı sunulacağı belirtilmiştir. (https://www.sozcu.com.tr/2021/teknoloji/whatsapp-duyurdu-gizlilik-politikasini-kabul-etmezseniz-ne-olacak-6274517/ )

WhatsApp en başta sözleşmeyi kabul etmeyen kişilerin hesabının silineceğini açıklamıştı, ancak gelen tepkilerden sonra bu kararını değiştirmişti. Yeni açıklamada WhatsApp hesaplarının silinmeyeceği belirtiliyor. Şirket diğer yandan sözleşmeyi kabul etmeyenlerin sınırlı kullanıma sahip olacağını ve daha sonra bu sınırlı kullanımında kapatılacağını söylüyordu. (https://www.sabah.com.tr/yasam/2021/05/15/whatsapp-sozlesmesi-son-durum-nedir-sozlesme-nasil-iptalkabul-edilir-whatsapp-sozlesmesi-suresi-ne-zamana-ertelendi?paging=5 )

Facebook, WhatsApp’ı 2014 yılında 22 milyar dolara satın aldı. WhatsApp, Ağustos 2016’dan bu yana Facebook ile giderek yaygın şekilde veri paylaşımı yapıyordu.Veri paylaşımına başladıktan sonra WhatsApp, bir ay süreyle kullanıcılarına bu paylaşıma katılmama imkânı veren bir “opt out” süresi tanımıştı. Bir aylık “opt out” süresince veri paylaşım uygulamasının dışında kalacağını beyan eden ayarları yapmayan her kullanıcı, otomatik olarak veri paylaşımına rıza gösterir olarak kabul edildi ve verileri Facebook ile paylaşıldı.Bu süreden sonra platforma katılan herkes (1 milyarı aşkın yeni kullanıcı) bu paylaşım iznini otomatik olarak onayladıklarının ön kabulüyle WhatsApp’ı indirip kullanabildi.

Ağustos 2016’daki bu “opt out” süresinde WhatsApp ayarlarından uygulamadaki değişikliği reddetmeyen ve Eylül 2016’dan sonra bu platforma geçen herkesin verileri zaten Facebook ile paylaşılıyordu.

Problemin temelinde iddia edildiği gibi WhatsApp’ın veya Facebook’un mesajlarınızı okuması gibi bir olasılık yatmıyor. Çünkü WhatsApp, “uçtan uca şifreleme” özelliğine sahip. Yani mesajların içeriğini sadece gönderici ve alıcı görebiliyor.

Son tartışmaların asıl odağı kullanıcıların “meta-veri”lerinin, Facebook ve bağlantılı şirketleri ile reklam ve hizmet optimizasyonu için paylaşılmasıdır. WhatsApp’ın Facebook ve bağlantılı şirketler olan Facebook Payments, Onavo, Facebook Technologies ve CrowdTangle ile bu meta-veri paylaşım kurallarını detaylı bir şekilde kendi sitesinde tanımlanmaktadır.

Facebook ile paylaşılan meta-veriler WhatsApp tarafından şu şekilde tanımlanıyor:

Hesap bilgileri

WhatsApp’taki aktivitelerin süresi, zamanı ve sıklığı

Telefon rehberindeki irtibat bilgileri

WhatsApp Pay gibi ödeme hizmetleri kullanan kişilerin ödeme, ticaret ve hesap bilgileri

WhatsApp Müşteri Hizmetleri ile irtibata geçerken kullanılan e-posta adresleri

Uygulamaya giriş ve çıkış bilgileri, hata ve sistem problemi bilgileri

WhatsApp’ın kullanıldığı cihaz, mobil servis sağlayıcı, IP adresi, ve cihazın bulunduğu uluslararası zaman dilimi

Lokasyon-temelli veriler: Lokasyon verileri kapatılsa bile IP adresi ve telefon numarası alan kodu gibi bilgiler kullanılarak lokasyon bilgilerinin (şehir-ülke gibi) çıkarsama yapılması ve depolanması

Çerezler: WhatsApp Web gibi bilgisayar-temelli uygulamalar kullanılırken dil tercihleri, giriş sağlanan bilgisayar bilgileri gibi verileri çıkarsamaya yarayan paket veriler. (https://www.bbc.com/turkce/haberler-turkiye-55617439 ) ^^

Kişisel Verileri Koruma Kurulu 12.01.2021 tarihli duyurusunda whatsapp hakkında resen inceleme başlatıldığını duyurmuştur. 03.09.2021 tarihinde ise Kurul incelemeyi tamamladığını belirtmiş ve kararı yayınlamıştır. Söz konusu kararda Kurul;

  • WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerinin incelenmesi neticesinde; temel olarak veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığını,
  • Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe girmeyeceğinin belirtildiği tespit edilmiştir.

Kurul kararında öncelikle KVKK 4.maddesinde düzenlenen ilkeler yönünden inceleme yapılmıştır. 

“Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık

WhatsApp tarafından Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlanmasının bu ilkeye aykırı olduğu belirtilmiştir.

 

“Belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık

İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı görülmüş ve bu ilkelere aykırı olduğu belirtilmiştir.

 

WhatsAppın Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği bu sebeple açık rıza alınması gerektiği ancak aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği bunun yanı sıra taahhütname başvurusunda da bulunulmadığı Kanunun 9 uncu maddesine uygun hareket edilmediği belirtilmiştir.

 

Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı belirtilmiştir.

İlkelerin yanı sıra kurul yurt açık rızanın unsurları açısından da değerlendirmeler yapmıştır. WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirilmek suretiyle ilgili kişilerden sözleşmeye onay vermelerinin istenildiği ve sonrasında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı başta olmak üzere diğer kişisel veri işleme şartlarına dayanılarak kişisel verilerinin işlendiğinin beyan edildiği ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle alınan açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiği ve yine kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulmasının da bu unsuru zedelediği ifade edilmiştir.

Tüm bu tespitler neticesinde Kurul 1.950.000 TL idari para cezası uygulanmasına karar vermiştir.

Ayrıca, 

  • uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
  • Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması

ve söz konusu işlemlerin sonucundan Kurula bilgi verilmesi hususunda talimatlandırma yapılmıştır.

Dev mesajlaşma platformu WhatsApp’a veri kurallarını ihlal ettiği gerekçesiyle 225 milyon euro ceza verildi. İrlanda Veri Koruma Komisyonu (DPC) cezanın sebebi olarak WhatsApp’ın Avrupa Birliği’nin veri koruma kurallarını ihlal etmesini gösterdi. 

Geçen yıl aralık ayında açıklanan taslak kararda, WhatsApp’a yaklaşık 50 milyon euro ceza kesildi ancak Avrupa’daki diğer veri düzenleyicileri tutarı düşük buldu. Avrupa Veri Koruma Kurulu devreye girerek komisyonun alacağı bağlayıcı kararı belirlemiş oldu. Şirketin 225 milyon euro ödemesine karar verildi. (https://www.posta.com.tr/ab-veri-yasalari-kapsaminda-irlandadan-whatsappa-rekor-ceza-2370188 )

Bu ceza, DPC tarafından şu ana kadar verilmiş en büyük, Avrupa Birliği veri koruma yasaları kapsamında da bir kuruluşa verilmiş en büyük ikinci ceza olarak kayıtlara geçti. Ayrıca açıklamalarda, Facebook’a ait olan WhatsApp’ın “şeffaflık yükümlülüklerini” karşılamadığı belirtildi. Bir WhatsApp sözcüsü tarafından yapılan açıklamalarda ise söz konusu sorunların 2018’de yürürlükte olan politikalar ile ilgili olduğu ifade edildi. Ayrıca yapılan açıklamalarda, WhatsApp’ın bilgiler konusunda şeffaf ve kapsamlı olmaya çalıştığı, bu yüzden de cezanın orantısız olarak görüldüğü belirtildi ve temyize gidileceği ifade edildi. (https://www.donanimhaber.com/irlanda-whatsapp-a-225-milyon-euro-ceza-verdi–138440 )

ERDEM ŞAHİN AKAR

WhatsApp tarafından açıklanan yeni gizlilik ilkelerine göre Facebook ile veri paylaşımına izin isteyecek. Veriler Facebook’un yanında şirketin diğer yan kuruluşlarıyla da paylaşılmış olacak. Whatsapp tarafından sözleşmeyi onaylamayan hesapların 120 gün boyunca ‘pasif’ olacağı ve bu süre zarfında söz konusu kullanıcılara yeni sözleşmeyi geri dönüp kabul etme şansı sunulacağı belirtildi. Kullanıcıların büyük tepki göstermesi üzerine şirket 8 Şubat olarak belirlenen yeni sözleşmenin kabulüyle ilgili son tarihin 15 Mayıs’a ertelediğini duyurmuştu. Rekabet Kurumu tarafından Facebook’un Türkiye’de, WhatsApp kullanıcılarının verilerinin 08 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşullar ile ilgili olarak, 4054 sayılı Kanun’un 9. maddesi çerçevesinde geçici tedbir kararı alındı. 

(https://www.sozcu.com.tr/2021/teknoloji/whatsapp-gizlilik-sozlesmesi-icin-sure-doluyor-sozlesmeyi-kabul-etmezseniz-ne-olacak-6420441/)

Rekabet Kurumu, WhatsApp’ın gizlilik sözleşmesinin Türkiye’de uygulanmayacak olmasına ilişkin yaptığı yazılı açıklamada şunlar kaydedildi “Müteakiben WhatsApp tarafından planlanan güncelleme, küresel çapta, 15 Mayıs 2021 tarihine kadar ertelenmiştir. Rekabet Kurumu tarafından alınan tedbir kararı ve yapılan incelemeler sonrasında WhatsApp tarafından veri paylaşımını içeren söz konusu güncellemenin, onaylayan kullanıcılar dahil olmak üzere, Türkiye’deki hiçbir kullanıcı açısından yürürlüğe girmeyeceği tarafımıza bildirilmiştir.” 

(https://www.dha.com.tr/teknoloji/whatsappin-gizlilik-sozlesmesi-turkiyede-uygulanmayacak/haber-1828073)

Kişisel Verileri Koruma Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile; “Veri sorumlusu tarafından Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu kapsamda ilgili kişilerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak veri sorumlusunun bu uygulamasının Kanunun 4’üncü maddesinde yer alan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği ve kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası verilmiştir.”

(https://kvkk.gov.tr/Icerik/7045/WHATSAPP-UYGULAMASI-HAKKINDA-YURUTULEN-RESEN-INCELEMEYE-ILISKIN-KAMUOYU-DUYURUSU)

İrlanda Veri Koruma Komisyonu (DPC) tarafından yapılan açıklamada, DPC’in Facebook bünyesinde bulunan WhatsApp’ın kişisel verileri kullanımına yönelik incelemesinde WhatsApp’a ilişkin sorunların, mesajlaşma uygulamasının 2018’de şeffaflık konusundaki AB veri kurallarına uyup uymadığına ilişkin olduğu belirtildi. DPC’nin WhatsApp soruşturmasında öncü kararını, onayı gereken diğer Avrupa veri düzenleyicilerine Aralık 2020’de sunduğu belirtilen açıklamada, ancak sekiz düzenleyicinin karara itiraz ettiği ifade edildi. Avrupa Veri Koruma Kurulunun temmuzda veri ihlal cezalarının artırılması konusunda bağlayıcı bir karar aldığı hatırlatılan açıklamada, “Bu kararla DPC’den bir dizi faktör temelinde WhatsApp için önerilen cezayı yeniden değerlendirmesi ve artırması istendi.” denildi. Açıklamada, “Bu yeniden değerlendirmenin ardından DPC, WhatsApp’a 225 milyon avro para cezası verdi.” ifadesine yer verildi.

(https://www.aa.com.tr/tr/dunya/irlanda-kisisel-verilerin-aktariminda-seffaflik-olmamasi-nedeniyle-whatsappa-225-milyon-avro-ceza-verdi/2353783)

(https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry)

EDANUR OKUMUŞ

Dünya üzerinde en çok kullanılan anlık haberleşme uygulamalarından biri olan WhatsApp, 4 Ocak 2021 tarihinde gizlilik politikasında değişikliğe gittiğini ve 8 Şubat 2021 tarihine kadar bu değişikliğin kullanıcılar tarafından onaylanması gerektiğini aksi halde uygulamanın kullanılamayacağını açıklamış bu durum tüm dünyada büyük bir tepkiye sebep olmuştu. Bir çok kullanıcı Telegram, Signal gibi uygulamalara deyim yerindeyse “akın” etti. 

Firmanın gizlilik politikasında gittiği değişikliklere göre WhatsApp, diğer Facebook Inc. şirketleri ile hesap kayıt bilgileri, işlem verileri, kullanıcının etkileşim kurma şekline ilişkin bilgiler, mobil cihaz bilgileri ve IP adresi verilerini paylaşacaktı.

2014 yılından bu yana Facebook Inc. çatısı altında olan WhatsApp, yükselen bu yoğun tepki üzerine bu gizlilik politikası güncellemesini onaylama süresini 15 Mayıs 2021 tarihine kadar uzattığını açıkladı. Ayrıca bu tarihe kadar gizlilik sözleşmesini onaylamayanların uygulamayı normal olarak kullanabileceği de şirket tarafından ifade edildi. Fakat onaylı işletme hesapları için bu zorunluluğun süreceği belirtildi. 

Gizlilik Sözleşmesindeki kullanıcı hesap verilerinin 20014’te WhatsApp’i bünyesine alan Facebook Inc. ile paylaşma konusunda kullanıcıların seçim hakkının ortadan kaldırılmasına ilişkin değişikliğin birçok mecrada aslında  uygulamanın kullanıcı hesap verilerini uzun zamandır paylaştığına ilişkin yorumların da yükselmesine neden oldu. (https://archive.is/hTrZR)

Baş Denetim Otoritesi olarak İrlanda Veri Koruma Komisyonu (DPC) WhatsApp hakkında GDPR’daki yükümlülüklerini ihlal ettiği gerekçesi ile hazırladığı taslak raporunu Aralık 2020’de sunmuş ve ihlalin kaynağında Facebook Inc. ile paylaşılan veriler, şeffaflığa ilişkin sorunlar ve AB vatandaşlarının bunlar hakkında yeterince bilgilendirilmemesi vardı.

Aralık 2020’de DPC tarafından sunulan taslak rapora Avrupa’daki diğer denetim otoritelerinin itiraz etmesi sonucu DPC bu uyuşmazlığı Avrupa Veri Koruma Kurulu’na (EDPB) taşımış ve Kurul da  28 Temmuz 2021’de itirazların yerinde olduğunu ve DPC’nin EDPB kararına göre yeniden değerlendirme yapması gerektiğine hükmetti. (https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf) Ardından DPC cezayı yeniden değerlendirerek 2 Eylül 2021 tarihinde bu zamana kadar verdiği en yüksek ceza olan 225 milyon Euro cezaya hükmetti. (https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry )

Türkiye Kişisel Verileri Koruma Kurulu (KVKK) ise 3 Eylül 2021’de WhatsApp’a ilişkin yürüttüğü resen incelemenin sonucunu kamuoyu ile paylaştı. 

Kurul ilgili kararında, WhatsApp LLC. tarafından veri işleme faaliyetinin hizmet sözleşmesinin bir parçası haline getirildiğini ve hizmetten yararlanmak için kullanıcılara aslında bir açık rıza verme zorunluluğu yaratıldığını ve bunun da açı rızanın temeli olan özgür irade ile açıklanma hususuna aykırı olduğunu ifade etti. (https://kvkk.gov.tr/Icerik/7045/WHATSAPP-UYGULAMASI-HAKKINDA-YURUTULEN-RESEN-INCELEMEYE-ILISKIN-KAMUOYU-DUYURUSU)

WhatsApp LLC tarafından işlenen kişisel verilerin yurtdışına aktarımı konusunda kullanıcıların sözleşmeyi bir bütün olarak onaylamaya zorlanması ve uygulamanın kullanımının da bu aktarım şartına bağlanmasını Kurul tarafından 6698 sayılı Kanunun 4. maddesindeki hukuka ve dürüstlük kurallarına uygunluk ilkesine aykırı bulundu. WhatsApp’ın bir sözleşmenin kurulması ve ifası başta olmak üzere diğer kişisel veri işleme şartlarına uygun olarak verilerin işlendiği beyanına karşılık Kurul, bu konuda görünenin aksine istenen onayın kişisel verilerin işlenmesine ilişkin açık rıza alınmasına dayalı olduğunu kararında ifade etti. Ayrıca kurul çerezler konusunda da açık rıza alınmadığını ve bunun da bir KVKK ihlali olduğunu belirtti. Tüm bu ihlaller üzerine Kurul tarafından 1.950.000 TL idari para cezası uygulanmasına ve WhatsApp tarafından 6698 sayılı Kanun’a uygun olarak aydınlatma yükümlülüğünün yerine getirilmesine karar verilmiştir.