Kişisel Verileri Koruma Kurumu WhatsApp Kararı

KVKK’dan WhatsApp’a Büyük Ceza

6698 sayılı Kişisel Verilerin Korunması Kanunu ile hayatımıza giren kişisel verilerin kullanılması, saklanması, silinmesi ve açık rıza, aydınlatma yükümlülüğü ve kapsamı tek tek her birimizi yakından ilgilendirmektedir. Zira her gün her an kişisel verilerimiz iznimiz olmadan yada üstü kapalı bir şekilde ve izin adın altında kanuna aykırı olarak alınmakta ve kullanılmaktadır. Bu kapsamda gündeme gelen ve uzun süre kamuoynu meşgul eden Whatsapp’ın Türkiye’deki kullanıcılarından talep ettiği uygulamayı kullanmaya devam etmenin karşılığında kişisel verileri yurt dışına aktarma konusunda açık rıza istemesi üzerine yeniden gündeme gelmiş ve Kurumun 03.09.2021 tarih ve 2021/891 sayılı resen inceleme başlatma kararı ile bu konu dikkatleri üzerine toplamıştır. Geldiğimiz noktada da Kişisel Verileri Koruma Kurumu Whatsapp ‘a ceza vermiştir.

Hatırlayacağımız gibi 2021 başlarında Whatsapp Türkiye’ye yaptığı bildirimle uygulamayı kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan üçüncü taraflara aktarılmasına açık rıza verilmesini kapsayacak şekilde Hizmet Koşullarının ve Gizlilik İlkesinin güncellendiğini bu kapsamda açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağını ve hesaplarının silineceğine dair bilgilendirme yapmış ve bu bilgilendirme sonrasında Mayıs ayını işaret ederek söz konusu tarihten sonra açık rıza vermeyenlerin uygulamayı kullanamayacağını belirtmişti. Bu bildirim üzerine Kurum (KVKK) 2021/28 ile 2021/120 sayılı kararları çerçevesinde yurt dışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere Whatsapp hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15/1 maddesi kapsamında resen inceleme başlatmıştır.

KVKK ve Kişisel Verileri İşleme Şartları

Bu kapsamda açık rıza, yurt dışına veri aktarmı ve aydınlatma metinlerinin kapsamına değinecek olursak: Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, ifade etmektedir. Ve kanuna göre açık rızanın:

-Belirli bir konuya ilişkin olması,
-Rızanın bilgilendirmeye dayanması,
-Özgür iradeyle açıklanması gerekir.


6698 Sayılı KVKK, bu şartların birlikte sağlanmasını aramaktadır. Ancak whatsapp açık rızayı uygulamanın bütününü kullanıp kullanamama konusunda dayatmaya gitmekte ve kanunun aradığı özgür irade şartını yok saymaktadır. Diğer taraftan yurt dışına veri aktarmanın şartlarına bakacak olursak kanun yurt dışına aktarımda açık rıza, yeterli korumanın bulunması, yeterli koruma olmaksızın aktarmada Türkiye’ deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecğini ifade etmektedir. Ancak bu kapsamda Whatsapp ve veri sorumlularınca Kurula her hangi bir bir taahhütname başvurusunda da bulunulmamıştır. Diğer taraftan yeterli korumanın bulunduğu ülkeler Kurulca açıklanacak olup bu kapsamdaki çalışmalar devam etmektedir. Ancak henüz Kurul tarafından da yeterli korumanın bulunduğu ülkeler açıklanmamıştır. Bir diğer husus aydınlatma metinleridir ki bu da kanunun 10 maddesinde yerini bulmuş olup kanun bu yükümlülüğü:

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. Diyerek aydınlatma yükümlülüğünün taşıması gereken unsurlarına dikkat çekmiştir. Bu anlamda aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.

Kişisel Verileri Koruma Kurumu WhatsApp Kararı Sonuç

Kanunun aradığı tüm bu şartlar Kurul tarafından en ince ayrıntısına kadar değerlendirlimiş ve sonuç olarak Whatsapp hakkında Kurul yukarıda bahsi geçen 2021/28 ile 2021/120 sayılı kararları kapsamında yaptığı inceleme sonucunda ve WhatsApp’ tan alınan savunma ve bununla bağlantılı olarak WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerini incelemiş ve temel olarak;

  • Veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığı,
  • Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak bahsedildiği,
  • Hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği
  • Ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe giremeyeceğinin belirtildiği ve bu kapsamda;
  • Kişisel Verileri Koruma Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile; Veri sorumlusu tarafından söz konusu uygulama kapsamında farklı veri işleme şartlarına dayanıldığı ,
  • Kişisel verileri işlemeye yönelik açık rızanın istisnai olarak başvurulması gereken bir yol olduğu, ancak söz konusu açık rızanın hizmeti almak için tek şart olarak sunulduğu, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı,
  • Sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın yukarıda kanun metninde geçen ve konunun en önemli unsuru olan“özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Aktarıma ilişkin metnin müzakare olmaksızın kullanıcın zorlandığı, bununla açık rızanın saf dışı bırakılmaya çalışıldığı, uygulama kullanımının şarta bağlandığı, bunun da kanun bahsi geçen dürüstlük kuralları ve hukuka uygun olma argümanlarına aykırı davranıldığı yine Kanunun 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
  • Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği anlaşıldığı, beyan edilmiş ve Kanunun 12/1 maddesi gereğince kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli teknik idari tedbirlar alınmadığından veri sorumluları hakkında Kanunun 18/1-b maddesi gereğince 1.950.000 TL idari para cezası verilmiştir.
    Kurul ayrıca veri sorumlusuna 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, kullanıcılara geçerli sürüm olarak sunulduğunun anlaşıldığını ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi, Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığının anlaşıldığını belirterek kullanıcılara geçerli bir aydınlatma metninin sunulması ve bu işlemeler sonucunda Kurulun bilgilendi,rilmesi hususunda Whatsapp ve ilgili veri sorumlularını talimatlandrmıştır.

Sonuç

Söz konusu karar Türkiye’de Whatsapp aleyhine verilmiş önemli bir karara olmakla birlikte açık rızanın alınması, aydınlatma metinlerinin kabul edilebilirlik kriterleri ve aydınlatma metni ve açık rızanın veri sorumlusu tarafından muhataba sunumu konularında çok önemli ve yol gösterici bir kaynak olması hasebiyle kayde değer bir öneme sahip olmuştur.