[vc_row][vc_column][vc_column_text]

Av.Yalçın TORUN

WHATSAPP  GİZLİLİK İLKESİNİN DEĞERLENDİRİLMESİ

 

  1. Giriş

Kişisel Verilerin Korunması Kanununun 3. maddesine göre veri sorumlusu olan  WhatsApp İnc.  Şirketi tarafından tek taraflı olarak 04.01.2021 tarihli  yeniden düzenlenen  ve bahse konu sosyal platformu kullanmak isteyen  kişilerin onayına sunulan, şirketin güvenlik ilkesini de  içeren  koşullar  sosyal ağ  kullanıcıları açısından endişe yaratmıştır. Koşullar kabul edilmediği takdirde hizmet alınamayacağı açıkça  ilgili metinde belirtilmektedir.  Sosyal ağ kullanıcıları, özel hayatları,  mahremiyetleri ve kişilik hakları içerisinde yer alan  konum bilgilerini, fotoğraf, ses ve görüntü kayıtlarını, sağlık verilerini,  siyasi,  etnik, felsefi ve cinsel kimliklerine ilişkin kişisel verilerini     bahse konu sosyal ağda fazlasıyla paylaşmaktadırlar.   Veri sorumlusu şirket  bahse konu  gizlilik  politikası ile kişisel verileri nasıl işleyeceğini  belirtmiştir. İşleme faaliyeti içerisinde kişisel verilerin yurt dışına transferi, üçüncü kişilerle paylaşılması ve ne tür işleme faaliyetlerinde bulunulacağına yönelik düzenlemeler mevcut olup,  belge de mevcut şartlar kabul edilmediği diğer bir ifade ile   rıza beyanı alınmadığı takdirde ilgili sosyal ağın kullanılmayacağı ortadır.   Şirketin hizmetinden yararlanılması için  şart koştuğu koşullar şirketin gizlilik politikasını ve kişisel verilerin nasıl işleneceğini içermektedir.     Kişisel verilerin insan hakları, özellikle özel hayat ve mahremiyet hakkı  ile yakından ilişkisi dikkate alındığında,    devletin  insan haklarını koruma yükümlülüğü kapsamında  müdahalesinin kaçınılmaz olacağı ve bu konuda insan haklarının korunmasına yönelik uluslararası sözleşmeler ve insan haklarının korunmasına ilişkin  evrensel ilkeler dahil,  başta T.C  Anayasası ve KVK Kanunu ve diğer iç hukuk düzenlemelerinin    dikkate alınmasının zorunlu olduğu    açıktır.  Ayrıca bahse konu sosyal ağ kullanımına yönelik şartları içeren gizlilik belgesi  bir yönüyle nevi şahsına münhasır  bir tüketici sözleşmesi olarak ta kabul edilebilecektir.  Anayasamızın 20 maddesinde  herkesin , kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, kişisel verilerinin işlenmesine doğrudan müdahale yetkisi olduğu   kişisel verilerin açık rıza ile işlenebileceği  hususu  açıkça düzenlenmiştir.  İnsan haklarından vazgeçmenin mümkün olmayacağı bu hakların bizi insan yapan en temel değerler olduğu dikkate alındığında , kişisel verilerin koruduğu değerlerden bir kısmının ilgili kişinin açık rızası alınmış/koşulları kabul ettiğini açıkça bildirmiş olsa dahi  işlenemeyeceği hususunu da gözden kaçırmamak gerekecektir.

Whatsapp kişisel veri koruma politikasında Avrupa ülkeleri için farklı standartlar belirlemiştir. Bu husus sanki bazı ülke vatandaşlarının diğer ülke vatandaşlarından farklı olarak özel hayatlarının korunmasında daha düşük standartlara sahip olduğu gibi bir anlayışın şirket tarafından kabul edildiği anlamına gelmektedir.  Oysa temel hak ve özgürlüklerin temel unsurunun insan olduğu ve insanlar arasında  hak ve özgürlükler açısından bir fark bulunmadığı dikkate alındığında,   şirketin bu yaklaşımının  insana saygı anlayışı merkeze alındığında kabul etmeye olanak yoktur.    Diğer taraftan aşağıda açıklanacağı üzere  şirketin gizlilik politikası  incelendiğinde şirketin gizlilik koşullarının kişisel verilerin korunmasında yeterince güvence sağlamayacağı yönünde şüphelere  neden olmaktadır.  Kaldıki Türk Kişisel Verileri Koruma Mevzuatının temelini Avrupa Birliği  düzenlemeleri ve Avrupa İnsan Hakları Sözleşmesi Oluşturmaktadır.  Hal böyleyken Şirket Türkiye’yi de Avrupa dışında kabul ederek   Türkiye ve Avrupa Devletleri dışındaki diğer ülke vatandaşları için  farklı bir Kişisel veri koruma politikası belirlemiştir. Konu üzerinde hassasiyet gösteren Kişisel Verileri Koruma Kurumu  ve Rekabet Kurumu aşağıdaki kararları almışlardır.

  1. Kişisel Verilerin Koruma Kurumunun Yaklaşımı

Konunun hassasiyeti üzerine,  KVK Kurumunca 12.01.2021 tarihinde kurumun web sitesinde bir duyuru yayınlanmıştır. Duyuruda KVK Kurulunca whatsApp İnc.  Şti. hakkında bir inceleme başlatılmış ve  08 . 02. 2021 tarihinde karar verileceği duyurulmuştur. Duyuruda KVK Kanununa yapılan yollamalarla ve özetle aşağıda ifade edilen hususların inceleneceği belirtilmiştir.

Yapılacak incelemede whatsApp İnc’in veri güvenliği ve gizlilik politikası kapsamında belirlediği kişisel verilerin işlenmesine ilişkin düzenlemelerin,

  • Kanunda belirlenen kişisel verilerin işlenmesine yönelik temel prensiplere uygun olup olmadığı,
  • Şirketçe alınan rızanın açık rıza unsurlarını taşıyıp taşımadığı hususunun değerlendirilmesi gerektiği,
  • Açık rızanın veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyeceği,
  • Açık rızanın geri alınması yönünde irade beyanının şirkete ulaştığında yapılacak işlemlerin açıkça belirlenmesi gerektiği,
  • Açık rıza alınmadan önce hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması yönünden değerlendirme yapılması gerektiği,
  • Kişisel verilerin üçüncü kişilere aktarılmasında kanunda belirtilen prensipleri uyulup uyulmadığı,
  • Şirketin kişisel verileri yurt dışına aktarılması politikasının , Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı  9 uncu maddesinde belirlenen düzenlemeye aykırılık teşkil edip etmeyeceği,
  • Özel nitelikli kişisel verilerin işlenmesine yönelik(yurt dışına aktarım dahil) gerekli tedbirlerin alınıp alınmadığı;   hususları açısından, değerlendirileceği  bildirilmiştir.
  1. Rekabet Kurulunun Tedbir Kararı  

 

Rekabet Kurulu ise  11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, hakim durumun kötüye kullanılmasıkapsamında WhatsApp  İnc hakkında soruşturma başlatmıştır. Kurul, soruşturma sonucunda alınacak nihai karara kadar,  konunun ciddi ve telafi olunamayacak zararlar doğurma ihtimalini haiz olduğu gerekçesiyle 4054 sayılı Kanun’un 9. maddesi çerçevesinde geçici tedbir kararı alarak,    ve bu kapsamda Facebook’un Türkiye’de, WhatsApp kullanıcılarının verilerinin 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları durdurması ve bu koşulları kabul eden veya bilgilendirmeyi alarak kabul etmeyen tüm kullanıcılara Facebook’un veri paylaşımını içeren yeni koşulları durdurduğunu anılan tarihe kadar bildirmesi gerektiğine karar vermiştir.

  1. Genel Değerlendirme

 

WhatsApp İcn. kişisel verileri hukuka ve dürüstlük kuralına uygun işlemekle yükümlüdür.  Bu ilke uluslararası alanda da kabul gören bir ilkedir. Anlamı kısaca ,  ‘ veri sorumlusunun kişisel veriyi  işlemeye ihtiyaç var mı?’’, bu soruya verilecek cevap ‘’evet’’ ise ‘’kullanılan usul ve esas kişisel veri taşıyıcısının  özel hayatına gösterilmesi gereken saygı hakkını en az kısıtlayacak  usul mü? sorularına “evet” cevabı verilebiliyor ve işleme faaliyeti şeffaf bir şekilde yapılıyorsa  bu ilkenin gereği yerine getirilmiş olacaktır.  WhatsApp   İnc.  veri gizliliği politikası incelendiğinde bu ilkenin ihlal edilebileceği düşünülebilir.  Zira, bu ilke gereği ilgili kişinin  haklı menfaati ve çıkarı zarar görmemesi,  zarar görüp görmediğini  denetleyebilmek için ilgili kişinin, kişisel verilerinin hangilerinin işlendiğini,  şirketin ilgili kişi hakkında elinde bulundurduğu  verilerin doğru olup olmadığını ve hangi usul ve esaslarla işlendiğini görebilmesi ve denetleyebilmesi gerekmektedir. Şirketin gizlilik politikasının   bu denetimi sağlayamadığı söylenebilir.

         Kişisel veriler kanunda düzenlenen hukuka uygunluk halleri dışında açık rıza ile işlenebilecektir.Şirketin ilgili kişinin rızasını şeklen alması  veri sorumlusu şirketi sorumluluktan kurtarmaya yetmeyecektir. Açık rıza ilgili kişinin  kendisiyle ilgili kişisel verilerinin işlenmesi anlaşmasını içeren,   belirli bir konuda  bilgilendirildiğini kesin olarak  belirten özgür  iradesiyle verilmiş bir beyan  veya onaylayıcı bir eylemdir. İradenin özgür olması, kişinin gerçekten bir seçim hakkına sahip olması gerekmektedir. Sadece hizmetin alımının devamı için,  zorunlu olarak verilmiş rıza   açık rıza kapsamında değerlendirilmeyebilecektir. Zira şirket rıza verilmediğinde hizmeti sunmayacağını açıkça beyan etmektedir. Bir  seçimin sonucunu etkileyebilecek herhangi bir uygunsuz baskı veya etki unsuru rızayı geçersiz kılacaktır.  Rıza alınmadan önce rızanın geçerli olabilmesi için veri taşıyıcısına  kişisel veri üzerinde yapılacak işlemin  içeriği,  bu işlemin ne kadar süreceği, kişisel verilerin nerelerde kullanılacağı  hakkında ayrıntılı bilgi verilmelidir. Şirketin ggizlilik politikasının bu şartları taşıyıp taşımadığı da sorgulanmalıdır. Kişisel verilerin kişi mahremiyeti ile ilgili olması durumunda, bazı hallerde   açık rıza olsa dahi şirketin her türlü veriyi kolaylıkla işleyememesi gerekmektedir.   Diğer taraftan WhatsApp hesabı oluşturulduğunda ilgili kişinin telefon rehberindeki WhatsApp kullanmayan kişilerin  mevcut kişisel verilerinin   sadece whatsApp kullanan  kişinin rızası ile kaydedilmesi,  whatsApp kullanıcısı kişi dışında diğer kişilerin de kişisel verilerinin onların rızaları olmaksızın işlenmesine de sebep olabilecektir.  Bu durumda rıza gösteren kişi ve şirketin  WhatsApp kullanıcısı olmayan kişilerin açık rızaları alınmaksızın kişisel verilerine de ulaşmış olmalarına olanak sağlayacaktır..

 

Kişisel veriler belli  meşru bir amaçla işlenmelidir. Amaç hangi verilerin toplanacağını, bu veriler üzerinde hangi işlemlerin yapılabileceğini, ne kadar süre verilerin elde tutulacağını ve depolanabileceğini belirlemektedir. Bu kapsamda ilgili şirketin güvenlik politikasının  çok genel ifadeler içermesi amaca bağlılık ilkesi yönünden,  kişisel verilerin işlenmesini sorgulanabilir hale getirmektedir. Rıza alınmadan önce kişisel verilerin hangi amaçla toplandığının aydınlatma metninde açıkça belirtilmesi, bu amacın meşru olması  ve bu amaç dışında işlenmemesi gerekmektedir. Amaç yeterince açık ve belirgin   olmalıdır. Özellikle kişisel verilerin pazarlama amacıyla işlendiği durumlarda, kişinin  mal ve hizmet pazarlamak için araç olarak görüldüğü durumlarda bu ilke  ihlal edilebilecektir. Şirket pazarlama amaçlı verileri kullandığını ifade etmektedir. Bu konuda detaylı bir değerlendirme yapılması gerektiğini düşünüyoruz.

Kişisel verilerin yurtdışına aktarımı için sadece rıza yeterli değildir. Kişisel verinin aktarıldığı ülkede yeterli koruma  mevcut olmalı ve bu hususta Kişisel Verileri Koruma Kurulca bir karar alınmalıdır. Oysa WhatsApp İnc verileri yurt dışına transfer etmekle kalmayıp, yurtdışında değişik ülkelerde yerleşik şirketlerle de bilgileri paylaşmaktadır. Bu kapsamda verilerin yurtdışına kolaylıkla transferi ve sonrasında bir koruma olmaması işleme faaliyetini hukuka aykırı hale getirebilecektir.

  1. Özet Olarak WhatsApp Gizlilik Politikası ile ilgili  Düzenlemeler

 

Düzenlemeler aşağıda sunulmuştur.

 

  1. Kişisel Üçüncü Kişilerle Paylaşılmayacağına İlişkin Düzenleme

WhatsApp’ta paylaşılan hiç birşeyin  WhatsApp’ınde  içinde bulunduğu Facebook gibi şirketler dahil olmak üzere  herhangi bir uygulamada paylaşılmayacağı belirtilmektedir.  Facebook ta yayımlanan diğer kişisel verilerde WhatsApp’ta paylaşılmayacağı  bildirilmektedir.

  1. Mesajların İşlenmesine İlişkin Düzenleme,
  • Mesajların (sohbetleriniz, fotoğraflarınız, videolarınız, sesli mesajlarınız, dosyalarınız ve konum paylaşım bilgileriniz dahil) saklanmadığı,
  • Mesajların teslim edildikten sonra sunucularından silineceği, whatsApp ve üçüncü kişilerin bu mesajları göremediği, gönderilen  mesajların çevrimdışı olunması durumunda hemen teslim edilemezse en fazla 30 gün boyunca sunucularında saklanacağı  ve 30 günden sonra hâlâ teslim edilmemişse bu mesajın silineceği,
  • Pek çok kişinin paylaşımda bulunduğu popüler bir fotoğraflar ile videoların  bir süre boyunca saklanabileceği,
  • İlgili kişinin başkalarıyla iletişim kurma biçimi o kişinin irtibatında kolaylık sağlamak maksadıyla  favori listesi oluşturulabileceği bildirilmiştir.
  1. Otomatik İşleme Faaliyetlerine İlişkin Düzenleme
  • İlgili kişinin hizmetleri nasıl kullandığı, whatsApp hizmetini kullanarak başkalarıyla nasıl etkileşim kurduğu vb.  ile ilgili bilgilerin kaydedileceği,
  • WhatsApp hizmeti için ödeme yapıldığında  ödemeye ilişkin makbuz vb.  belgelerin üçüncü kişilerden  alınabileceği,
  • İlgili kişinin WhatsApp hizmetini alması durumunda kullandığı cihazın örneğin telefonun    donanım modeli, i şletim sistemi bilgileri, tarayıcı bilgileri, IP adresi, telefon numarası dahil olmak üzere mobil ağ bilgileri ve cihaz tanımlayıcıları gibi bilgilerinin toplanacağı,
  • Konum özelliklerinin kullanılması durumunda  cihaz konum bilgilerinin  toplanacağı,
  • Web tabanlı Hizmetleri sunarken  çerezlerin  kullanılacağı, (Çerez, ziyaret ettiğiniz web sitesinin tarayıcınıza veya mobil cihazınıza kaydetmesini söylediği küçük yazı dosyasıdır.)
  • İlgili kişinin çevrimiçi olup olmadığı son görülme tarihi ile ilgili bilgilerin toplanacağı,
  • Hizmetin yürütülmesi ve iyileştirilmesi kapsamında başkalarından-üçüncü kişilerden- ilgili kişiye yönelik bilgilerinde toplanabileceği ( örneğin harita ve yer bilgileri sunmak için sizinle ilgili bilgilerin – dijital konum bilgilerinin  üçüncü kişilerden alınması bibi)
  • WhatsApp Hizmetin üçünü kişilerle birlikte kullanılması durumunda – bir haberin whatsApp aracılığı ile  paylaşılmasında-  mobil iletişim operatörü veya cihaz sağlayıcısından   ilgili kişi hakkında  bilgiler alınabileceği,
  • WhatsApp hesabı oluşturulduğunda telefonda kullandığınız telefon numarası ve  telefon rehberinizde bulunan bütün kişilerin  telefon numaralarını WhatsApp ile paylaşılmasını kabul ettiğinizi beyan etmiş olunacağı ifade edilmiştir.
  1. Bilgilerin Kullanımına İlişkin Düzenleme

 

  • İlgili kişiye ait kişisel verilerin , hizmeti yürütmek, sunmak, iyileştirmek, anlamak, özelleştirmek, desteklemek ve pazarlamak amacıyla kullanılacağı,
  • Facebook şirketler grubu ile ilgili pazarlama amaçlı bilgiler gönderileceği,
  • İlgili kişinin telefon numarası, profil ismi ve fotoğrafının, çevrimiçi durumunda ve durum mesajının, son görülme bilgilerinin ve mesaj teslim bilgilerinin whatsapp hizmetini kullanan  herkese açık olduğu fakat bu konuda  ayarlar sekmesinden düzenlemelerin yapılabileceği,
  • Üçüncü taraf sağlayıcılarla kişisel verilerin paylaşılması durumunda  verilerin işlenmesi için ilgili kişiden rıza alınmasının şart koşulduğu,
  • WhatsApp ile entegre çalışan iCloud ve Google Direv gibi yedekleme hizmetlerinden yararlanıldığında  bu hizmetlerin doğal olarak bilgi sahibi olacakları belirtilmektedir.

Avukat Yalçın TORUN

 

[/vc_column_text][/vc_column][/vc_row]

İlgili Makaleler

Ankara İdare Mahkemesince 4045 sayılı Kanun’un ve bu Kanun uyarınca çıkarılan Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği’nin kişisel verilerin korunması kapsamında da özel hayata saygı hakkının güvencelerini sağlayacak hükümlerden yoksun olduğuna ve bu nedenle güvenlik soruşturmasının hukuka aykırı olduğuna karar vermiştir.( Konuya ilişkin 7315 sayılı Güvenlik Soruşturması ve Arşiv Araştırması Kanunu 7 Nisan 2021 tarihinde yürürlüğe girmiştir)

Scroll to Top