I. GİRİŞ

Kişisel Verileri Koruma Kurulu ("Kurul"), 3 Eylül 2021 tarihinde sitesinde yaptığı duyuruyla Whatsapp hakkında başlatılan soruşturmada 1.950.000 Türk lirası idari para cezasına hükmettiğini kamuoyuyla paylaştı. Whatsapp'ın Hizmet Koşulları ve Gizlilik İlkesi metinlerinin güncellenmesi dolayısıyla re'sen açılmış olan soruşturmada Kurul, 3 Eylül 2021 tarihli 2021/891 sayılı kararı ile Whatsapp'ın kişisel verilerin hukuka aykırı işlenmesini önlemek için yeterli teknik ve idari tedbirleri almadığı dolayısıyla Whatsapp'ın veri güvenliğine ilişkin yükümlülüklerini yerine getirmediğine karar verdi. Temel olarak Whatsapp'ın kişisel veri işlerken ve aktarırken dayandığı hukuki sebeplerin Kişisel Verilerin Korunması Kanunu'na ("KVKK") uygun olup olmadığının değerlendirmesi niteliğinde olan karar, bu yazımız kapsamında kısaca incelenecektir.

 

II. WHATSAPP KARARI

  1. Whatsapp Hizmet Koşulları ve Gizlilik İlkesi

Whatsapp 4 Ocak 2021 tarihinde "Whatsapp Koşullar ve Gizlilik İlkesini Güncelliyor" başlıklı bir bildirimle, Facebook ile kullanıcıların kişisel verilerinin paylaşılmasını da içeren Hizmet Koşulları ve Gizlilik İlkesi'ndeki değişiklikleri kullanıcılarına duyurdu. Bu bildirime göre kullanıcılardan ilgili değişikliklere onay vermeleri aksi takdirde 8 Şubat 2021 tarihinden itibaren uygulamayı kullanamayacakları ifade edildi. Bu bildirimin ilanı sonrasında kullanıcıların bir kısmı ilgili değişiklikleri uygularken, birçok kişi ise Whatsapp'a alternatif uygulamaları kullanmaya başladı. Kullanıcıların yoğun tepkisi üzerine, Whatsapp değişiklikleri onaylamayan kullanıcıların uygulamayı kullanamayacakları tarihi değiştirdiğine ilişkin bir duyuru yayınladı.

  1. Rekabet Kurulu'nun Duyurusu

Rekabet Kurulu 11.01.2021 tarihinde, yani Whatsapp'ın yaptığı değişikliklerden tam bir hafta sonra karar alarak Whatsapp'ın yaptığı bildirimle piyasadaki hâkim durumunu kötüye kullanıp kullanmadığına ilişkin re'sen soruşturma başlattığını duyurdu. Ayrıca Rekabet Kurulu, yapılan değişikliğin ciddi ve telafi olunamayacak zararlar doğurma ihtimali dolayısıyla, geçici tedbir alınmasına hükmederek, Whatsapp'ın ilgili koşulları durdurmasına ve yapılan değişiklikleri kabul edip etmediği önemli olmaksızın tüm kullanıcılara durumu bildirmesi gerektiğine karar verdi.

  1. Kişisel Verileri Koruma Kurulu'nun Duyurusu

Kişisel Verileri Koruma Kurulu ise, Rekabet Kurulu'nun re'sen soruşturma başlatmasından bir gün sonra, yine aynı değişiklikler dolayısıyla, re'sen soruşturma açtığını duyurmuştur. Kurul re'sen soruşturmanın kişisel verilerin işlenmesi ve yurtdışında yerleşik kişilere aktarılmasına ilişkin rıza alınması işlemlerinin ayrıştırılmaması dolayısıyla açık rızanın özgür iradeye ilişkin şartları taşıyıp taşımadığı, yapılan işlemlerin veri işlemenin ilkelerine uygunluğu, yurt dışına yapılacak aktarımların hukuka uygunluğu, sunulan hizmetin açık rıza şartına bağlanması durumunun varlığı hususlarında olduğunu 2021/28 sayılı kararında belirlemiştir.

  1. Kişisel Verileri Koruma Kurulu'nca Verilen Nihai Karar

Nihayetinde 12.01.2021 tarihinde Kurul tarafından duyurulan soruşturma 3 Eylül tarihinde sonuçlanmıştır. Kurul verdiği karar kapsamında Whatsapp hakkında 1.950.000 Türk lirası idari para cezasına hükmetmiştir. Karar temelde yurt dışına aktarım, genel ilkeler ve açık rızaya ilişkin şartlar kapsamında önemli hususlar içermektedir. Öncelikle bu kapsamda açık rızaya ilişkin hususları inceleyeceğiz.

4.1 Açık rıza

Whatsapp yaptığı değişiklik kapsamında Hizmet Koşulları ve Gizlilik İlkesi'nin kullanıcılar tarafından onaylanmasını aksi takdirde ise uygulamayı belirli bir süre sonra kullanamayacaklarını bildirmiştir. Whatsapp Hizmet Koşulları'nın kullanıcı ile aralarında olan sözleşme olarak tanımlandığını, Gizlilik İlkesi'nin ise şeffaflığı sağlamaya yönelik kişisel verilere ilişkin işleme amaçlarını da ifade eden Hizmet Koşulları metninin bir parçası olduğu savunmasında bulunmuştur. Aslında Whatsapp tarafından hedeflenen amaç, kişisel verilere işlenmesine ilişkin hususların taraflar arasında bir sözleşmede yer alması (Hizmet Koşulları) ve bu şekilde açık rıza almaksızın sözleşmenin kurulması ve icrası kapsamında veri işlemenin zorunlu olması şartına dayanarak kişisel verilerin işlenmesidir. Doğrusu Facebook (Facebook Whatsapp'ı 2014 yılında satın almıştır) bu yöntemi ilk defa bu değişiklik kapsamında denememiş olup daha öncesinde de dünyanın farklı yerlerinde bu yöntemi kullanmıştır. Örneğin Facebook geçmiş yıllarda kişiselleştirilmiş reklamı kullanıcı sözleşmesi kapsamında bir hüküm olarak yazmış ve sonrasında kişiselleştirilmiş reklamın sözleşmesel bir yükümlülüğü olduğunu iddia ederek, açık rızaya gerek olmaksızın bu kapsamda veri işleyebileceğini ifade etmiştir ve bu olay Avusturya'da yargıya taşınmıştır1

Kurul ise, Hizmet Koşulları'na eklenerek açık rıza alınması gereken bir durumun bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması kapsamında temellendirmesi bakımından her ne kadar görünürdeki işlemin bir sözleşme onayı olarak ifade edilse de gerçekte yapılan işlemin kişisel verilerin işlenmesi için açık rıza almak olduğunu belirtmiştir.  Dolayısıyla Kurul, kişisel verilerin işlenmesi, yurt dışına aktarılması gibi durumların hiçbirinde bir ayrım gözetilmemesini ve seçimlik hak sunulmadan sözleşmede bir hükümle tüm kişisel verilere ilişkin tek bir onay verme imkânı sunulmasını, açık rızaya ilişkin "özgür iradeyle açıklama" unsurunu zedelediğini tespit etmiştir.

Aynı zamanda Hizmet Koşulları'na verilecek onay hizmeti kullanmaya devam edebilmek adına şart koşulmuştur. Dolayısıyla Kurul, bu hususun da açık rıza alınmasının hizmet şartına bağlanması dolayısıyla "özgür iradeyle açıklanma" unsurunu zedelediğini tespit etmiştir.

Bilindiği üzere açık rızanın üç temel unsuru bulunmaktadır. Bunlar; belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanmasıdır2. Bu üç unsuru sağlamayan bir açık rıza irade beyanı hukuken geçersizdir. Dolayısıyla bu şekilde alınmış açık rızaya dayalı veri işleme KVKK'ya aykırı olacaktır. Nitekim Whatsapp tarafından yapılan açık rıza alma faaliyeti hem hizmet şartına bağlanması hem de kişisel verilere ilişkin yapılacak faaliyetler kapsamında bir ayrım yapılmadan doğrudan tek bir onaya tabi tutulmaması dolayısıyla geçersiz bir açık rıza teşkil etmektedir. Kurul daha Amazon hakkında verdiği kararda bu tip belirli bir konuyla sınırlandırılmamış rızalar için "battaniye rıza" terimini kullanmış ve geçersiz olduğunu ifade etmiştir3. Nihayetinde Kurul ifade ettiğimiz hususlar kapsamında karar vererek faaliyetin hukuka aykırı olduğunu ifade etmiştir.

4.2İlkeler Bakımından

Kurul'un karar kapsamında dikkat çektiği ilk ilke "hukuka ve dürüstlük kurallarına uygun olma" ilkesidir. Aktarıma ilişkin ifadelerin müzakereye kapalı bir biçimde diğer hususlarla birlikte onaya sunulması ve kullanıcıya tercih hakkının tanınmaması, hizmetin Hizmet Koşulları'nda yapılan değişikliklere onay vermek kaydıyla kullanımına devam edilebilmesinin şart haline getirilmesi ve bu şekilde özgür iradenin sakatlandığı nedenleriyle ilgili veri işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık taşıdığını tespit etmiştir.

Açık rızanın hizmet şartına bağlanmasının, hukuka ve dürüstlük kurallarına uygun olma ve ilkesini ihlal etmesi ilk defa bu karar kapsamında öngörülmemiş olup, aslında bu hususun Kurul'un yerleşik bir içtihadı olduğu pekâlâ söylenebilecektir. Kurul Amazon'un çerezler bakımından kişisel veri işleme faaliyeti için şu değerlendirmeyi yapmıştır:

"Veri sorumlusu, "Gizlilik Bildirimi" metninde "Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız." ya da "Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız." diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Kurumumuzun internet sayfasında da yayımlanan kararı da sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4'üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmektedir"4.

Whatsapp'ın faaliyetleri kapsamında tüm kişisel verilere ilişkin açık rıza istenmesi, ancak işleme amacıyla orantılı bir şekilde işleme yapılmadığı, aktarılacak verilerin hangi amaçla aktarılacağının belirli olmadığı hususu ise hem "belirli, açık ve meşru amaçlar için işleme" hem de "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırı bulunmuştur.

4.3Kişisel Verilerin Yurt Dışına Aktarımı

Karar kapsamında bir diğer husus ise Whatsapp'ın sunucularının yurt dışında bulunması dolayısıyla kişisel veriler üzerinde işleme anlamına gelen faaliyetlerinin yurt dışına aktarım niteliğinde olduğudur. Nitekim Kurul, sunucuların yurt dışında bulunması halinde bu durumun yurt dışına aktarım niteliği taşıdığını önceki kararları kapsamında da ifade etmiştir. Bu kapsamda g-mail uzantılı mail adresleri üzerinden kişisel verilerin şirket içi dahi olsa başka bir adrese iletilmesi dahi yurt dışına aktarım oluşturmaktadır. Kurul 2019 yılında verdiği bir kararında bu durumu netleştirmiştir: "Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) "Kişisel verilerin yurt dışına aktarılması" başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine, "Server"ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.5" Dolayısıyla sunucuların yurt dışında bulunması yurt dışına veri aktarımı niteliğinde olup, 9. maddeye uygun olarak yapılması gerekmektedir. Whatsapp'ın da sunucularının yurt dışında bulunması dolayısıyla 9. maddeye uygun davranması gerekirken, 9. madde kapsamındaki yükümlülükleri almaması Kurul tarafından tespit edilen diğer bir ihlaldir.

4.4 Çerezler

Karardaki son husus ise Whatsapp'ın profilleme amacıyla çerezler kullanmasıdır. Ancak Whatsapp çerezlerin kullanılmasına ilişkin olarak açık rıza almamıştır. Dolayısıyla açık rıza almaksızın profilleme amaçlı çerez işleme faaliyeti de Kurul tarafından KVKK Kapsamında hukuka aykırı bir veri işleme faaliyeti olarak değerlendirilmiştir.

III. SONUÇ

 

Nihayetinde Kurul, yukarıda ifade ettiğimiz gerekçeler neticesinde Whatsapp'ın kişisel verilerin hukuka aykırı işlenmesini önlemek için gerekli her türlü teknik ve idari tedbiri almadığını, bu durumun da 18. maddede yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesine aykırı olduğunu ifade ederek, Whatsapp hakkında 1.950.000 Türk lirası idari para cezasına hükmetmiştir.

Ayrıca ilgili metinlerin KVKK'ya 3 ay içinde uygun hale getirilmesi, Gizlilik İlkesi metninin ise aydınlatmaya ilişkin unsurları taşımadığı nedeniyle KVKK'ya ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun hale getirilmesi konusunda, talimatlandırılmasına karar vermiştir.

Footnotes

1 https://noyb.eu/en/breaking-austrian-ogh-asks-cjeu-if-facebook-undermines-gdpr-2018

2 Kişisel Verileri Koruma Kurumu, 6609 Sayılı Kanun'da Yer Alan Temel Kavramlar, s. 1-12.

3 Kişisel Verileri Koruma Kurulu, 27.02.2020, 2020/173 sayılı Karar.

4 Kişisel Verileri Koruma Kurulu, 27.02.2020, 2020/173 sayılı Karar.

5 Kişisel Verileri Koruma Kurulu, 31.05.2019 tarihli 2019/157 sayılı karar.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.