Makalemizde WhatsApp Veri Aktarımının KVKK ve Rekabet Kurulu Kararı Kapsamında Değerlendirilmesi Konusunu Ele Alacağız
A.Giriş
2014 yılında Facebook Inc. tarafından satın alınan ve Dünya’nın en popüler anlık mesajlaşma uygulamaları arasında gösterilen WhatsApp geçtiğimiz günlerde gizlilik politikasında yaptığı değişiklik ile Avrupa Birliği ülkeleri dışındaki ülkelerde uygulamayı kullanan kullanıcılarının kişisel verilerini Facebook Inc.’nin iş ortakları ve bir başka üçüncü taraf ile paylaşacağını duyurdu. Ayrıca WhatsApp Inc., yaptığı bu değişikliği kabul etmeyen kullanıcıların ise 8 Şubat 2021 tarihi itibariyle hesaplarının silineceğini belirtti.
WhatsApp Inc.’nin gizlilik politikalarında yaptığı değişikliklerin neler olduğunu ve bu değişikliklerin hukuki boyutlarını Kişisel Verileri Koruma Kurumu ve Rekabet Kurulunun verdiği kararlar bağlamında ele aldığımız yazımızda cevaplamaya çalıştık.
Yazı Konu Başlıkları:
A. Giriş
B. WhatsApp’ın Gizlilik İlkesine Genel Bir Bakış
C. Kişisel Verileri Koruma Kurumu ve Rekabet Kurumu Kararları
D. Kurum Kararları ve Mevzuat Çerçevesinde Değerlendirme
B. WhatsApp’ın Gizlilik İlkesine Genel Bir Bakış:
Yukarıda kısaca bahsettiğimiz üzere WhatsApp Inc. 4 Ocak 2021 tarihinde gizlilik politikalarında yaptığı değişiklikle kullanıcılarına ait bazı kişisel verileri şirket ortaklarıyla paylaşacağını duyurdu. Birçok ülkede olduğu gibi ülkemiz kamuoyunda da büyük tepki toplayan bu karardan sonra Düzenleyici ve Denetleyici Kurumlar tarafından re ’sen soruşturma başlatıldı.
Peki bu kadar tepki alan ve re’ sen soruşturma başlatılmasına sebep olan bu değişikliğin içeriği nedir, yapılan değişiklikle birlikte WhatsApp uygulamasını kullandığımızda kişisel verilere ve mesajların içeriğine ne olacak?
WhatsApp, Kullanıcıların bilgilerini nasıl topladığını, bunları nasıl kullandığını ve üçüncü tarafların bilgilere nasıl eriştiğini başlıklar halinde anlatmaktadır. Biz de bu başlıklara riayet ederek gizlilik politikasındaki değişiklikleri izah etmeye çalışacağız. 8 Şubat 2021 tarihinden itibaren değişecek gizlilik politikasını hep birlikte inceleyelim: [1]
1.Bilgilerin Nasıl Toplandığı:
1.1.Kullanıcıların sağladığı bilgiler:
1.1.1.Hesap Bilgileri:
Uygulamayı kullanmak üzere bir hesap oluşturmak için cep telefonu numaranızla giriş yapmanız gerekmektedir. Ayrıca profil adınız gibi temel bilgileri sağlamanız gerekmektedir. WhatsApp uygulamasını kullanmanız için bu bilgileri girmeniz zorunluluk arz ediyor. Fakat bundan sonra yapacağınız birçok şey isteğe bağlı: Örneğin, hesabınıza ait bir profil resmi ve “hakkımda” kısmındaki bilgiler isteğe bağlı olarak eklenen verilerdir.
1.1.2.Mesajlar:
WhatsApp, kullanıcıların mesajlarını:
- Genelde sunucularda saklamadığını,
- Mesajların kullanıcıların kendi cihazlarında depolandığını,
- Mesajların alıcıya teslim edildikten sonra WhatsApp’ın sunucularından silindiğini vurgulamaktadır.
Ayrıca mesajların saklanabileceği iki istisnai durumu da şu şekilde açıklamaktadır:
Teslim edilmeyen mesajlar: Gönderdiğiniz bir mesajın alıcının çevrimdışı olması gibi durumlarda teslim edilmezse mesajı en fazla 30 gün boyunca sunucularında şifrelenmiş bir şekilde saklandığını ve bu süre içerisinde mesajı teslim etmeye çalıştığını, 30 gün sonunda teslim edilmemiş mesajın silindiğini belirtmektedir.
Medya İletimi: Bir kullanıcının bir mesaj ile birlikte medya ilettiğinde aynı medyanın tekrar iletildiği durumlarda daha verimli şekilde teslim edilmesini sağlamak amacıyla medyayı şifrelenmiş şekilde geçici olarak sunucularında sakladığını belirtmektedir.
WhatsApp Inc., tüm bu hizmetleri sunarken uçtan uca şifreleme yöntemini kullandığını, uçtan uca şifrelemenin ise “WhatsApp tarafından ve üçüncü taraflarca okunmasını önlemek amacıyla mesajlarınızın şifrelenmesi anlamına geldiğini” ifade etmektedir.
1.2.Otomatik Olarak Toplanan Bilgiler
1.2.1.Kullanım ve Kayıt Bilgiler:
WhatsApp, hizmet sunarken kullanıcılar tarafından gerçekleştirilen işlemler hakkında bilgiler topladığını, bu bilgilerin WhatsApp tarafından sunulan hizmetle ilgili tanılama amaçlı veya performansla ilgili bilgiler olduğunu belirterek bu bilgilerin kapsamı hakkında şu ifadelere yer vermektedir: “WhatsApp, hizmetlerinizi nasıl kullandığınızı, ayarlarınızı, başkalarıyla nasıl iletişim kurduğunuzu -buna işletmelerle kurduğunuz iletişimler dahil- işlem ve etkileşimlerinizin zamanını, sıklığı ve süresini; günlük dosyalarınızı, tanılama çökme, web sitesi ve performans günlüklerini ve raporlarını kapsadığını” belirtmektedir.
Ayrıca bunların yanında: “Durum bilginiz, dahil olduğunuz gruplar -bu grubun açıklaması ve grup resmi dahil-, yaptığınız ödemeler veya işletme özellikleri gibi kullandığınız özellikler, profil fotoğrafınız, “hakkımda” kısmındaki bilgileriniz, çevrimiçi olup olmadığınız, son görülme bilginiz, “hakkımda” kısmındaki bilgilerinizi en son ne zaman güncellediğiniz” gibi bilgilerin de yer aldığını belirtmektedir.
1.2.2.Cihaz ve Bağlantı Bilgileri:
WhatsApp, uygulamayı yüklediğinizde, cihazınızın donanım modeli, işletim sistemi bilgileri, pil seviyesi, sinyal gücü, uygulama sürümü, tarayıcı bilgileri, mobil şebeke, bağlantı bilgileri (telefon numarası, operatör ve internet servis sağlayıcısı dahil), dil ve saat dilimi, IP adresi, cihaz işlem bilgileri gibi bilgileri topladığını belirtmektedir.
- Konum Bilgileri:
WhatsApp, sizin verdiğiniz izin ile cihazınızdan elde edilen konum bilgilerini topladığını ve kullandığını, cihazınızda konumla ilgili özellikleri kullanmazsanız dahi genel konum bilgilerinizi (şehir ve ülke) tahmin etmek için IP adreslerini ve telefon numarası alan kodları gibi bilgileri kullandığını belirtmektedir.
1.2.3.Çerezler:
WhatsApp, hizmetlerinin nasıl kullanıldığını anlamak için çerezleri kullandığını ve hizmetlerini kullanıcılar için özelleştirmek amacıyla çerezlerden yararlanabildiğini belirtmektedir.
1.2.4.Üçüncü Taraf Bilgileri
1.2.4.1.Başkalarının Sizin Hakkınızda Sağladığı Bilgiler:
WhatsApp uygulamasını kullanan her kullanıcı telefon numarasını, adını cep telefonu rehberlerinde bulunan bilgileri rızasıyla kullanıma sunmaktadır. Bu bağlamda herkesin sohbet ve mesajların ekran görüntülerini alabileceğini, kullanıcıların birbirleriyle yaptığı görüşmeleri kaydedebileceğini ve bunları WhatsApp ’a veya başka herhangi birine gönderebileceğini göz önünde bulundurması için kullanıcılarını uyarmaktadır.
1.2.4.2.Üçüncü taraf hizmet sağlayıcıları
WhatsApp, “hizmetlerini yürütmesi, sağlaması, iyileştirmesi, anlaması, özelleştirmesi, desteklemesi ve pazarlamasına yardımcı olmaları için üçüncü taraf hizmet sağlayıcılarıyla ve diğer Facebook Şirketleriyle çalıştığını belirtmektedir.
1.2.4.3.Üçüncü Taraf Hizmetleri
WhatsApp, üçüncü taraf hizmetini şu şekilde örneklendirerek tanımlamaktadır: “Bir haber makalesini Hizmetlerimiz üzerinden WhatsApp kişilerinizle, gruplarınızla veya toplu mesaj listelerinizle paylaşmak için haber hizmetinin sayfasındaki WhatsApp paylaş düğmesini kullanmanız veya Hizmetlerimize bir mobil iletişim operatörünün ya da cihaz sağlayıcısının Hizmetlerimize yönelik tanıtımı üzerinden erişmeyi tercih etmeniz buna örnek olarak verilebilir. “
Bununla birlikte WhatsApp, hizmetlerini üçüncü taraf hizmetleriyle ve Facebook şirket ürünleriyle bağlantılı olarak kullanmanız durumunda IP adresiniz ve kullanıcı olduğunuza dair bilgiler alınabileceğini belirtmektedir.
1.2.4.4.Bilgilerin Nasıl Kullanıldığı:
WhatsApp, sahip olduğu bilgileri, müşteri desteği sunmak, satın alımları veya işlemleri tamamlamak, hizmetlerini iyileştirmek, düzeltmek ve özelleştirmek ve hizmetlerini kullanabileceği Facebook Şirketi ürünlerine bağlamak dahil olmak üzere hizmetlerini yürütmek ve sağlamak; sahip olduğu bilgileri insanların hizmetlerini nasıl kullandığını anlamak, hizmetlerini değerlendirmek iyileştirmek, yeni hizmet ve özellikleri araştırmak, geliştirmek ve test etmek ve aynı zamanda kullanıcıların karşılaştığı hatalarda kullanıcılara yanıt vermek için kullandığını belirtmektedir.
Ayrıca Emniyet, güvenlik ve bütünlük açısından zararlı faaliyetlerle mücadele etmek, kullanıcıları kötü deneyimlerden ve spam içeriklerinden korumak, şüpheli işlemleri engellemek için de kullandığını belirtmektedir.
Bunların yanında üçüncü taraf bant reklamlarına hala izin vermediğini belirtmektedir. (Bant reklam için bknz.) [2]
1.3. Facebook Şirketleri ile Paylaşılan Bilgiler:
WhatsApp, diğer Facebook şirketlerinden bilgi alacağını ve bu şirketlerle bilgi paylaşımında bulunacağını, hizmetlerinin ve Facebook şirketi ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığı bilgileri kullanabileceğini ve bu şirketlerin de WhatsApp tarafından kendileri ile paylaşılan bilgileri kullanabileceklerini belirtmektedir.
WhatsApp, Facebook Şirketleri ile hangi bilgileri paylaştığını şu şekilde açıklamaktadır: “WhatsApp şu anda Facebook Şirketleri ile belirli kategorilerdeki bilgileri paylaşmaktadır. Diğer Facebook Şirketleri ile paylaştığımız bilgiler arasında hesap kayıt bilgileriniz (örneğin, telefon numaranız), işlem verileri, hizmetle ilgili bilgiler, Hizmetlerimizi kullanırken (işletmeler dahil) diğer kişilerle etkileşim kurma şeklinizle ilgili bilgiler, mobil cihaz bilgileriniz ve IP adresiniz bulunmaktadır. Diğer Facebook Şirketleri ile paylaşılan bilgiler, Gizlilik İlkesinin “Topladığımız Bilgiler” bölümünde belirtilen veya size önceden bildirilerek ya da izniniz alınarak elde edilen başka bilgileri de kapsayabilir.” [3]
C. Kişisel Verileri Koruma Kurumu ve Rekabet Kurumu WhatsApp Kararları
WhatsApp’ın gizlilik politikasında yaptığı değişiklikleri yukarıda anlatmaya çalıştık. Dünya’nın birçok ülkesinde olduğu gibi ülkemizde de bu değişikliklere kullanıcıların gösterdiği tepkiler üzerine Düzenleyici ve Denetleyici Kurumlar olan Kişisel Verilerimizi Koruma Kurumu ve Rekabet Kurumu tarafından alınan kararlarla WhatsApp’ın veri paylaşımı kararı durdurularak re ‘sen soruşturma başlatıldı.
Kurumların kararlarını incelediğimizde:
Rekabet Kurumu, 11.01.2021 tarihli kararıyla: “4054 sayılı Rekabetin Korunması Hakkında Kanunun 6.maddesinin ihlal edilip edilmediğinin tespiti amacıyla re’ sen soruşturma başlatarak yine aynı kanunun 9.maddesi gereğince geçici tedbir alınması ve bu tedbirler kapsamında Facebook’un Türkiye’de WhatsApp kullanıcılarının verilerinin 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları durdurması ve Facebook’un bu veri paylaşımı içeren yeni koşullarını durdurduğunu 8 Şubat 2021 tarihine kadar bildirmesi gerektiğine” karar vermiştir. [4]
Kişisel Verileri Koruma Kurumu ise:
İlk olarak, “6698 sayılı Kişisel Verilerin Korunması Kanununun 2.maddesi kapsamında kimler hakkında uygulanacağını, Kişisel verilerin aynı kanununun 5.ve 6. Maddelerinde yer alan istisnalar dışında ilgili kişinin açık rızası ile işlenebileceğini, 16.02.2018 tarihli ve 2018/19 sayılı Kişisel Verileri Koruma Kurulu kararıyla açık rızanın veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyeceğini, Kanunun 4.maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi ve hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir eşleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerektiğini,
İkinci olarak, Kanunun 9.maddesine göre kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, aynı Kanunun 5.maddesinin 2.fıkrası ile 6.maddesinin 3.fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı ülkede yeterli bir korumanın bulunması, yeterli koruma bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğini,
Üçüncü ve son olarak, WhatsApp Inc. tarafından yapılan bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurt dışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağını belirtmiş ve bu kapsamda da “Kişisel verilerin, yurt dışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin olarak; yapılan ön değerlendirme sonucunda Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında re ’sen inceleme başlatılmasına karar verildiğini ve sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacağına” karar vermiştir. [5]
D. Kurum Kararları ve Mevzuat Çerçevesinde Değerlendirme
WhatsApp Inc. tarafından 8 Şubat 2021 tarihinden itibaren Avrupa Birliği ülkeleri dışındaki ülkeleri dışındaki diğer ülkelerde kişisel verilerin Facebook şirketleriyle paylaşacağına ilişkin kamuoyunda oluşan çifte standart olarak da değerlendirilen karara ilişkin tepkiler ve bu tepkiler üzerine alınan kararlarına ve gizlilik politikasına yukarıda değindik.
Bu değişikliğin Avrupa Birliği’nde (AB) uygulanamama sebebine kısaca değinmek gerekirse: AB vatandaşlarının kişisel verilerinin korunması için yürürlüğe konulan ve Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılan
2016 yılında kabul edilen 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğüdür (GDPR). [6]
Bu konuda Uluslararası mevzuat, Ulusal mevzuat ve Kişisel Verilerin Korunması Kanunu ve Uygulanmasına yönelik çalışmaları [7] birlikte incelediğimizde:
Avrupa İnsan Hakları Sözleşmesinde (AİHS) kişisel verilerin korunması ile ilgili doğrudan bir düzenlenme bulunmasa da “Özel ve aile hayatına saygı hakkı” başlıklı 8.maddesi ile kişilerin mahremiyeti güvence altına alınmıştır.
AİHS’ye paralel olarak Anayasa’nın Özel Hayatın Gizliliği başlıklı 20.maddesinde 2010 yılında yapılan değişiklikle kişisel verilerin korunması Anayasal güvence altına alınmıştır. Söz konusu değişiklikle:
- Herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu,
- Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
- Kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hükme bağlanmıştır.
Görüldüğü üzere Anayasamızın (AY) 20.maddesi ve bu maddeye istinaden düzenlenen 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun (KVKK) ile kişisel verilerin korunması güvence altına alınmıştır.
AY md.20 ve 6698 sayılı KVKK’nın 5/1, 6/2, 8/1, 9/2. maddesine göre “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin işlenmesi konusunda yasal bir düzenleme bulunmaması ya da bireyin kendisine ait kişisel verilerin işlenmesi yönünde açık bir irade beyanının olmaması durumunda kişisel verilerin işlenebilmesinin mümkün olmadığı” hüküm altına alınmış ve Açık rıza, kanunda hem özel nitelikli hem de özel nitelikli olmayan kişisel veriler bakımından temel hukuka uygunluk sebebi olarak öngörülmüştür.
Açık rıza, kanunun gerekçesinde belirtildiği üzere 95/46/EC sayılı AB direktifine göre: ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. AB’de yalnızca özel nitelikli (hassas) verilerin işlenmesi için açık rıza aranır iken ülkemizde kural olarak her türlü kişisel verinin işlenmesi için açık rızaya ihtiyaç duyulmaktadır. Bu bakımdan 6698 sayılı kanun AB düzenlemelerine göre daha fazla koruma öngörmektedir.
Açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Kanunun 3.maddesine göre Belirli bir konuya ilişkin olması, Rızanın bilgilendirmeye dayanması, Özgür iradeyle açıklanması şeklinde açık rızanın üç unsuru bulunmaktadır. Bu üç unsurun varlığının sağlanması gerekir.
Ayrıca, verilerin hukuka uygun işlenmesi için aşağıdaki tüm şartların birlikte sağlanması gerekir:
- İşlemenin rıza veya istisnaya dayalı olması,
- Aydınlatmanın gerçekleşmiş olması,
- İşlemenin amaç ve süre ile sınırlı olması,
- Genel (temel) ilkelere uygun olması.
Kişisel Verilerin işlenmesine ilişkin usul ve esaslar Kanunun 4.maddesinde düzenlenmiştir. Ayrıca kanunda, kişisel verilerin işlenmesinde belirlenen ve uyulması zorunlu ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Yukarıda da belirttiğimiz gibi kişisel verilerin işlenmesi ilk olarak gerçek kişinin açık rızasının alınması gerçekleşebilir. Dolayısıyla ilgili kişinin açık rızası alınmadan kişisel verilerinin işlenebilmesi kanunda öngörülen istisnalar dışında mümkün değildir. Bunun yapılması hukuka aykırılık teşkil edeceği ilgili düzenlemelerden açıkça anlaşılmaktadır. Zira, Kanunun 5/1. maddesinde: “Kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği” net bir şekilde belirtilmekle birlikte ve 2. fıkrasında da açık rıza aranmaksızın işleneceği halleri yani istisnaları saymaktadır.
Kanunun 5/2.maddesi hükmünün istisnaları düzenlediği yukarıda ifade edilmiştir. Bu istisnalar uygulanırken dahi kişisel verilerin işlenmesinde ölçülü olunmalı ve bir denge gözetilmelidir. İlgili kişinin kişisel verileri işlenirken haklarına zarar gelmemesi için dikkatli davranılmalı ve gerekli her türlü önlem alınmalıdır. Kanunun açık rızayı aramadığı bu halde dahi bu şekilde davranılması gerekirken dünya çapında popüler olan bir mesajlaşma uygulamasının Avrupa Birliği Genel Veri Koruma Tüzüğü nedeniyle Avrupa Birliği ülkelerinin vatandaşlarının uygulamayı kullanabilmelerinin devamlılığını sağlamak amacıyla seçenek sunarak gizlilik koşullarını kabul ettirmesi karşısında Avrupa Birliğine aday olan ülkemizin daha çetin koruma normları içeren yasal düzenlemelerini dikkate almayarak gizlilik politikası değişikliğini adeta bir dayatma şeklinde kullanıcılara kabul ettirmesi kabul edilebilir olmadığını belirtmek gerekmektedir.
Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7.maddesine göre; kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel verilerin işlenmesi gereken nedenlerin ortadan kalkması durumunda veri sorumlusu tarafından bu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. (Anonim hale getirme tanımı için bakınız: Kaynakça 7). Bunun için ilgilisinin başvurması gerekli değildir.
Kanunun “kişisel verilerin aktarılması” başlıklı 8/1. maddesinde “kişisel verilerin açık rıza olmadan aktarılamayacağını” yani ilgilinin açık rızası olmadan üçüncü kişilerle paylaşılamayacağı düzenlemiştir. 8/2’de ise kanunun 5/2. Ve 6. Maddelerine belirtilen şartlardan birinin bulunması halinde kişisel verilerin ilgili kişinin açık rızası aranmadan aktarılabileceği belirtilmiştir. Önemle vurgulamak gerekir ki: 1.fıkrada kişisel verilerin açık rıza ile aktarılması gerektiği ve 2.fıkrada belirtilen istisnanın hukuka uygun şekilde yerine getirilmesinin kişisel verileri direkt olarak üçüncü kişilerle paylaşabileceği anlamına gelmediği ve tam tersine 1.fıkradaki zorunlu hal olan ilgili kişinin açık rızasının alınması hususunun gerektiği ve açık rıza alınamadığı durumlarda ise 2.fıkrada yer alan şartların yerine getirilmesi gerektiği belirtilmektedir. (Detaylı bilgi için bakınız: Kaynakça 7.)
Kanunun, verilerin yurt dışına aktarılmasıyla ilgili düzenleme içeren “Kişisel verilerin yurt dışına aktarılması” başlıklı 9.maddesine göre:
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı,
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- a) Yeterli korumanın bulunması,
- b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği,
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
- a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
- b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
- c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
- d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kanunun amir hükmünden de anlaşıldığı üzere ilgili kişinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılamayacağı düzenlenmiştir. Kanun koyucu bu madde yönünden de 8.maddedeki ile paralel bir şekilde veri aktarımına yönelik istisnaları belirtmiş fakat burada bir takım ek önlemler getirmiştir. Zira, veri aktarılacak ülkede yeterli koruma bulunması şartı ve yeterli koruma bulunmaması durumunda veri sorumlusu gerçek ya da tüzel kişiye yazılı taahhüt sunması ve buna ilişkin Kişisel Verileri Koruma Kurulunun izni olması durumlarında 5.maddenin 2.fıkrası ile 5.maddenin 3.fıkrasında belirtilen şartlardan birinin varlığının sağlanması durumlarında kişisel verilerin yurt dışına aktarılmasına izin verilebileceğini düzenlemiştir.
Yine 9.madde ile Türkiye Cumhuriyeti’nin ve ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda ilgili kamu kurum veya kuruluşunun görüşünün alınması şartıyla veri aktarımının kurul iznine bağlı olacağını ve dolayısıyla da Kurulun gerekli çalışmaları yaptıktan sonra bu aktarımı durdurabileceği veya yasaklayabileceğini düzenlemiştir.
Kurumların kararları ve mevzuat bir bütün olarak değerlendirildiğinde, herhangi bir kurum veya kuruluşun kişisel verilerin işlenmesine yönelik işlemlerde 6698 sayılı kanununun 5-6.maddelerinde belirtilen işlenme şartlarının dışında, bir nevi dayatma yöntemiyle kullanıcılarına ait bilgileri bir başka üçüncü taraf ile paylaşacak olması 6698 sayılı kanunun 9.maddesine açıkça aykırıdır.
Kanununun “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10.maddesine göre veri sorumlusu veya yetkilisi kişisel verisi işlenen kişilere: Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.
WhatsApp Inc. tarafından her ne kadar gizlilik politikası aleni bir şekilde yayımlanmış ve aydınlatma yükümlülüğünü yerine getirmeye çalışmış olsa da yukarıda da yer verdiğimiz gibi bazı verilerin Facebook şirketler grubuna aktarılacak olması kişisel verilerin aktarılmasının hukuka uygun olduğu anlamını taşımadığını belirtmek gerekmektedir.
Kanun, ilgili kişilerin haklarını korumaları için hak arama yöntemleri de belirlemiştir. İlk olarak, 13.maddede düzenlenen veri sorumlusuna başvurulması; ikinci olarak, 14.ve 15.maddelerde düzenlenen Kişisel Verileri Koruma Kurulu’na şikâyet yoludur.
Bu kapsamda; kişilik hakları ihlal edilen kişiler, hukuka aykırı olması durumunda verilerin silinmesi, yok edilmesi ve bu silinme ve yok edilme işlemlerinin söz konusu verilerin açıklandığı üçüncü kişilere bildirilmesini ve kanuna aykırı olarak işlenen veriler nedeniyle oluşan zararların giderilmesini talep edebilir. Dolayısıyla ilgili, Kanunun 14/2.maddesine göre 13. Madde uyarınca veri sorumlusuna başvuru yolunu tüketmeden 14/1.maddede belirtilen Kurula şikâyet yoluna başvuramaz. Ayrıca, başvuru yoluna gitmenin kanunen zorunlu, şikayet yoluna gitmenin ise isteğe bağlı olması göz önüne alındığında, kişilerin veri sorumlusuna yaptıkları başvurunun zımni olarak veya açıkça reddedilmesi durumunda hem Kurula şikayet yoluna müracaatlarına hem de yargı yoluna müracaatlarına engel teşkil etmemektedir.
Yukarıda da yer verdiğimiz Kişisel Verileri Koruma Kurulu Kararında da belirtildiği üzere Kanunun “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15/7.maddesine göre: “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.” şeklinde düzenlenen hükme istinaden Kurul WhatsApp’ın veri aktarımına yönelik kararını durdurmuştur.
Kurul kararında da belirtildiği üzere kişisel bilgilerin belirli olmayan üçüncü kişilere aktarımı söz konusudur. Her ne kadar WhatsApp Inc. tarafından 16.01.2021 tarihinde Türkiye’deki kullanıcılarına yönelik tatmin edici olmayan bir takım paylaşımlar yapılsa da gizlilik politikasındaki bir nevi eşitsiz, ayırımcı ve muğlak tutumu karşısında, kurumlarımız tarafından mevcut tedbirlere ilaveten ek tedbirler alınması gerektiğini değerlendirmekle birlikte, Kurul tarafından verilen bu kararın yerinde olduğunu değerlendirmekteyiz.
Kaynakça:
[1] https://www.whatsapp.com/legal/updates/privacy-policy
[2] https://www.medyabox.com.tr/post/bant-reklam-nedir
[3] https://faq.whatsapp.com/general/security-and-privacy/what-information-does-whatsapp-share-with-the-facebook-companies
[4] https://www.rekabet.gov.tr/tr/Guncel/rekabet-kurulu-facebook-ve-whatsapp-hakk-14728ae4f653eb11812700505694b4c6
[5] https://kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU
[6] https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf
[7] https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf
Çukurova Üniversitesi Hukuk Fakültesi mezunudur. Halihazırda Adana Barosunda Avukatlık Stajını yapmaktadır.