Güncellenen Whatsapp Gizlilik İlkesinin Kişisel Verilerin Korunması Kanunu Işığında Değerlendirilmesi

  • March 1, 2021
  • Published in
  • 0

Güncellenen Whatsapp Gizlilik İlkesinin Kişisel Verilerin Korunması Kanunu Işığında Değerlendirilmesi

Ayşenur Arıburnu

Dünya’nın en çok kullanılan mesajlaşma uygulaması Whatsapp, 4 Ocak 2021 tarihinde Gizlilik İlkesi’ni güncelleyerek resmi internet sitesinde yayımladı. Büyük tepki uyandıran bu güncelleme ile birlikte Whatsapp’ın veri koruması ve paylaşımı uygulamaları hakkında Whatsapp tarafından cevaplandırılması beklenen bazı sorular sorulmaya başlandı:

  • Whatsapp kullanıcı verilerini Facebook ile paylaşacak mı?
  • Sohbetler Whatsapp tarafından okunacak mı?
  • Kullanıcıların mesaj gönderdikleri ve aradıkları kişilerin kaydı tutulacak mı?
  • Paylaşılan konumu Whatsapp görebilecek mi?

Whatsapp’ın milyonlarca kullanıcı kaybetmesine sebep olan gizlilik ve kişisel verilerin korunmadığı şüphesine karşısında Whatsapp internet sitesinde “Whatsapp’ın Gizlilik İlkesi ile ilgili sorularınızı cevaplıyoruz” başlığı altında açıklamalarda bulundu [1]. Buna göre, Whatsapp kullanıcılarının gizliliğinin ihlal edildiği konusundaki iddiaları yalanlayarak, kişisel mesajların okunmadığını, bu içeriklerin Facebook tarafından da okunmadığını ve dinlenmediğini, kişisel mesajların uçtan uca şifrelendiğini, kullanıcıların mesaj gönderdikleri ve aradıkları kişilerin kayıtlarının tutulmadığını, paylaşılan konumun da görülemediğini beyan etti.

Buna rağmen, Ancak, Türkiye dahil tüm dünyada kişisel verilerin korunması hakkında gelişen kamuoyu hassasiyeti ile Whatsapp’in Gizlilik İlkesinde net olmayan ifadeleri ve yaptığı açıklamaların yetersizliği tepkilerin devam etmesine neden oldu ve Whatsapp milyonlarca kullanıcısını kaybetti.

Bu yazıda 4 Ocak 2020 tarihinde en son güncellenen Whatapp Gizlilik İlkesini inceleyerek, Türk mevzuatı açısında değerlendireceğiz.

Whatsapp Gizlilik İlkesi Ne Diyor?

  • Hangi Kişisel Veriler Toplanıyor?

 

Gizlilik İlkesi’ne göre Whatsapp elde ettiği verileri bu verilerin toplanma yöntemine bağlı olarak aşağıdaki gibi ayırıyor:

  1. Kullanıcının sağladığı bilgiler
  • Hesap bilgileri
  • Mesajlar
  • Teslim edilmeyen mesajlar
  • Medya iletme
  • Bağlantılar
  • Durum bilgisi
  • İşlem ve ödeme verileri
  • Müşteri desteği ve diğer iletişimler

 

  1. Otomatik toplanan bilgiler
  • Kullanım ve kayıt bilgileri
  • Cihaz ve bağlantı bilgileri
  • Konum bilgileri
  • Çerezler

 

  1. Üçüncü tarafca sağlanan bilgiler
  • Başkalarının kullanıcı hakkında sağladığı bilgiler
  • Kullanıcı şikayetleri
  • Whatsapp’taki işletmeler
  • Üçüncü taraf hizmet sağlayıcıları
  • Üçüncü taraf hizmetleri

Yukarıda da izah ettiğimiz gibi, Whatsapp toplanan veriler arasında yer alan kişisel mesajların uçtan uca şifrelendiğini ve bu nedenle okunamadıklarını kamuoyuna duyurmuştu [2]. Buna benzer bir şekilde Whatsapp paylaşılan konum bilgilerinin de kendisi tarafından görülmediğini ve bu konum bilgilerinin uçtan uca şifrelenerek korunduğunu belirtmektedir [3]. Fakat Whatsapp’un bu açıklaması ile Gizlilik İlkesinde yer alan konum bilgilerinin kullanılması ile ilgili metin [4] birbiriyle çelişmektedir. Bu hususları aşağıda daha detaylı olarak değerlendireceğiz.

  • Kişisel Veriler Nasıl Kullanılıyor?

 

Öncelikle belirtmemiz gerekir ki, Kişisel Verilerin Korunması Kanunu’nu (KVKK) uyarınca Whatsapp topladığı tüm bu veriler bakımından “Veri Sorumlusu” statüsündedir. Dolayısıyla bu verilerin işlenme, kullanma, saklama, aktarma gibi tüm prensipleri yasalara uygun olarak Whatsapp belirlemekle sorumludur.

KVKK uyarınca, Whatsapp veri sorumlusu olarak aydınlatma yükümlülüğünü yerine getirmelidir. Aydınlatma’da kişisel verilerin işlenmesine dair hukuki sebepler belirtilmeli, genel nitelikli ve muğlak ifadelere yer verilmemeli, aydınlatmanın kullanıcılar için kolay erişilebilir olmasının sağlanması, açık rıza alınması gerekiyorsa, aydınlatmanın açık rızadan önce ve ondan ayrı olarak yapılması gerekmektedir. Veri sorumlusu için getirilen bu aydınlatma yükümlülüğü, aynı zamanda kullanıcılar için bir haktır.

Aydınlatma yükümlülüğünde yer alması gereken asgari unsurlar KVKK’nun 10’uncu maddesinde [5] sayılmıştır. Aydınlatma yükümlülüğünün herhangi bir formatı bulunmamaktadır, yazılı veya sözlü olarak gerçekleştirilebilir, ancak yapıldığının ispatı veri sorumlusuna aittir. Birçok uluslararası şirket aydınlatma yükümlülüklerini internet sitelerinde yer verdikleri Gizlilik İlkesi başlıklı metinlerle gerçekleştirmektedir.

Bu doğrultuda, Whatsapp Gizlilik İlkesinde toplanan kişisel verilerin genel olarak nasıl kullanıldığına yönelik aşağıdaki ifadeler yer almaktadır:

“Sahip olduğumuz bilgileri, yaptığınız seçimlere ve yürürlükteki yasalara tabi olmak üzere Hizmetlerimizi yürütmek, sağlamak, iyileştirmek, anlamak, özelleştirmek, desteklemek ve pazarlamak için kullanırız.

KVKK’nun 4’üncü maddesinde yer alan kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında “belirli, açık ve meşru amaçlar için işleme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” sayılmıştır. Ayrıca, aydınlatma metinlerine Kanun’un 5’inci ve 6’ıncı maddelerinde belirtilen kişisel verilerin işlenme şartlarının doğrudan alıntılanarak yazılması veya “size daha iyi bir hizmet sunabilmek için” gibi genel ve belirsiz ifadelerin yer alması, KVKK tahtındaki ilkelerle uyumlu değildir.

Bu nedenlerle, Whatsapp’ın Gizlilik İlkesinde yer alan genel nitelikli ve muğlak ifadeler (örneğin “pazarlama” ifadesinin), Whatsapp’ın kişisel verileri hangi spesifik amaçlarla ve hangi sınırlar içerisinde kullandığına dair bilgi içermemesi Whatsapp’ın KVKK ile uyumlu olarak aydınlatma yükümlülüğünü yerine getirmediği sonucunu doğurmakta ve bunun yanı sıra Whatsapp’ın topladığı kişisel verileri KVKK ve ilgili mevzuata uygun kullanmadığı durumların da mevcut olduğu ihtimalini düşündürmektedir.

  • Türkiye’den Toplanan Verilerin Yurtdışına Aktarımı

 

Whatsapp Gizlilik İlkesi, veri saklama ortamlarının hizmet sunduğu ülkeden farklı bir yerde olabileceğini ve kullanıcıların bulundukları ülke hukukunun Whatsapp işleyişinde geçerli olmayabileceğini ifade ediyor [6]. Gizlilik İlkesi ayrıca Whatsapp’ın, Facebook’un küresel altyapı ve veri merkezlerini kullanacağını, bilgilerin farklı ülkelere aktarılacağını ve aktarılan ülkelerde kullanıcılarının bulunduğu ülkelerden farklılık gizlilik yasalarının ve korumalarının olabileceğini söylemektedir. Whatsapp, Gizlilik İlkesinde yurt dışına aktarımının “küresel hizmetleri sağlamak amacıyla” gerçekleştirildiğini belirtmiştir. Gizlilik İlkesinde yapılan bu bilgilendirme dışında herhangi bir farklı aydınlatma yapılmamış ve kullanıcıların açık rızası alınması gerçekleştirilmemiştir.

Henüz Kişisel Verileri Koruma Kurulu güvenli ülke ilan etmediği ve herhangi bir kurumun yurtdışı aktarım taahhütnamesini onaylamadığı için, mevcut durumda KVKK’na uygun olarak verilerin yurtdışında transferi için tek yöntem ilgili kişilerden – bu durumda kullanıcılardan – yurtdışına transfer için açık rıza alınmasıdır.

KVKK’nın 3’ üncü maddesinin (1) numaralı fıkrasının (a) bendinde tanımına yer verilen “açık rıza” ’nın, “özgür irade ile açıklama”, “bilgilendirmeye dayanma” ve “belirli bir konuya ilişkin olma” şeklinde üç unsuru bulunmaktadır. Bu kapsamda eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa açık rızanın, hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir.

Sonuç olarak, Whatsapp verilerin yurt dışına aktarılması hususunda tam anlamıyla KVKK’ya uygun olmasa da Gizlilik İlkesi başlığı altında bir bilgilendirme yapmakta olup, bu konuda ayrıca bir açık rıza ya da aydınlatma metnine yer vermemektedir Yurt dışına aktarımda açık rıza şartının alınmasının koşullardan biri olan aktarım amaçlarının belirli, açık bir şekilde yazılmasını da bu sebeple sağlamamaktadır.

  • Açık Rıza ve Hizmet Şartı

 

Whatsapp’ın yeni gizlilik ilkesinin büyük tepki uyandırmasının bir sebebi de sağlanan hizmetin açık rıza şartına bağlanmış olması yani rızanın verilmemesi halinde kullanıcıların hizmetten yararlanamayacak olmalarıdır.

Halbuki, KVKK ve ilgili mevzuata göre bir hizmetin sağlanmasının veri sorumlusu tarafından açık rıza şartına bağlanmış olması kural olarak açık rızayı sakatlar, veri işleme faaliyetini hukuka aykırı hale getirir. Bu kuralın tek istisnası ise sunulan hizmetin veri işleme faaliyeti şeklinde ilerlemesidir yani veri işleme faaliyeti olmadan hizmetin sağlanamıyor olmasıdır. Whatsapp için böyle bir durum söz konusu olmamakla birlikte, sağlanan hizmet kural dahilinde olup açık rıza şartına bağlı tutulamaz. [7]

Whatsapp Kullanmaya Devam Etmek ve Kişisel Verilerin Korunma Seviyesini Değiştirmek Mümkün mü?

Bilindiği üzere günlük hayatımızda kullandığımız birçok websitesi ve uygulamalar (app) konum bilgisi, çerez kullanımı gibi gizlilik ayarlarında değişiklik yapmana izin vermekle birlikte, bu doğrultuda en azından bazı verilerin erişimi noktasında kullanıcısına bir sınır getirme hakkı tanıyor.

Whatsapp yeni Gizlilik İlkesi metninde yayınladığı üzere, topladığı bilgileri “sizin sağladığınız bilgiler” ve “otomatik olarak toplanan bilgiler” şeklinde ayırarak, özellikle kullanıcısının kontrolünde olmayarak toplanan veriler ile ilgili bazı açıklamalarda bulundu. Otomatik olarak toplanan bilgiler arasında kullanım ve kayıt bilgileri, cihaz ve bağlantı bilgileri, konum bilgileri ve çerezler olmakla birlikte özellikle konum bilgileri ve çerezler ile ilgili olarak kullanıcısını bu verileri kullanmaya izin vermeye iteleyecek ifadeler [8] kullandı. Konum bilgisi için; konumla ilgili özellikleri kullanmamak için ayarlar bölümünden bu özelliği kapatsak bile genel konumu öğrenmek için IP adresi ve telefon alan kodları gibi bilgileri kullanacağını ve en son “sorun giderme amacı ile” kullanılacağını söyleyen Whatsapp, çerezler için ise; kullanıcısının çerezleri devre dışı bırakması halinde bazı servislerinin doğru çalışmayacağını söyleyerek [9] aslında bir nevi kullanıcısına söz konusu verilere erişimi açık tutma konusunda başka bir şans bırakmıyor.

Sonuç?

Konuyu özetleyecek olursak; Whatsapp, 4 Ocak 2021 tarihinde güncellediği Gizlilik İlkesi ile Türk Hukuku’nda kişisel verilerin korunması ile ilgili olarak “kişisel verilerin yurt dışına aktarılması”, “açık rıza” ve “hizmet şartı” olmak üzere önemli üç konu başlığında sorunlar yaşadı.

Gizlilik İlkesi’nin Kişisel Verilerin Korunması Kanunu’nda yer alan yurt dışına aktarım şartlarını sağlamaması, açık rızanın gerektiği şekilde alınmamış olması ve de rızanın hizmet şartına bağlanmış olması sebepleri ile kamuoyunda oluşan tepkileri gidermeye yönelik açıklamalar yayınlamış olsa da, kişisel verilerin korunması ve faaliyet gösterilen her ülkenin mevzuatına uyum sağlama Whatsapp dahil tüm uluslararası sosyal medya kuruluşlarının itibarlarını etkileyebilecek önemli bir hukuki başlık olarak kalmaya devam edecektir.

 

DİPNOT:

[1] “Kişisel mesajlarınızı okuyamayız ve aramalarınızı dinleyemeyiz. Bu içerikleri Facebook da okuyamaz ve dinleyemez: Arkadaşlarınız, aileniz ve iş arkadaşlarınızla WhatsApp üzerinden yaptığınız sohbetlerdeki mesajları ve aramaları WhatsApp da Facebook da okuyamaz ve dinleyemez. Paylaştığınız her şey, paylaştığınız kişilerle aranızda kalır. Çünkü kişisel mesajlarınız uçtan uca şifreleme ile korunmaktadır. Bu güvenlik düzeyinden asla ödün vermeyeceğiz.”

“Kullanıcıların mesaj gönderdikleri ve aradıkları kişilerin kaydını tutmayız.”

“Paylaştığınız konumu göremeyiz. Konumunuzu Facebook da göremez: WhatsApp üzerinden bir kişiyle konumunuzu paylaştığınızda, konumunuz uçtan uca şifreleme ile korunur. Bu da paylaştığınız konumu, paylaştığınız kişi dışında hiç kimsenin göremeyeceği anlamına gelir.”

[2] “Whatsapp Gizlilik İlkesi İle İlgili Sorularınızı Cevaplıyoruz” metninde şu şekilde açıklandı:

“Kişisel mesajlarınızı okuyamayız ve aramalarınızı dinleyemeyiz. Bu içerikleri Facebook da okuyamaz ve dinleyemez: Arkadaşlarınız, aileniz ve iş arkadaşlarınızla WhatsApp üzerinden yaptığınız sohbetlerdeki mesajları ve aramaları WhatsApp da Facebook da okuyamaz ve dinleyemez. Paylaştığınız her şey, paylaştığınız kişilerle aranızda kalır. Çünkü kişisel mesajlarınız uçtan uca şifreleme ile korunmaktadır. Bu güvenlik düzeyinden asla ödün vermeyeceğiz. Bu konuda ne kadar kararlı olduğumuzu sizin de görebilmeniz için her bir sohbete güvenlik düzeyini açık ve net bir şekilde belirten etiketler ekliyoruz.”

[3]Paylaştığınız konumu göremeyiz. Konumunuzu Facebook da göremez: WhatsApp üzerinden bir kişiyle konumunuzu paylaştığınızda, konumunuz uçtan uca şifreleme ile korunur. Bu da, paylaştığınız konumu, paylaştığınız kişi dışında hiç kimsenin göremeyeceği anlamına gelir.

[4]Konumunuzu kişilerinizle paylaşmaya ya da yakındaki konumları veya başkalarının sizinle paylaştığı konumları görüntülemeye karar vermeniz gibi, konumla ilgili özellikleri kullanmayı seçtiğiniz durumlarda, sizden izin alarak cihazınızdan elde edilen hassas konum bilgilerini toplar ve kullanırız. Cihazınızın ayarlar bölümünde veya uygulama ayarlarında bulabileceğiniz, konum paylaşımı gibi konumla ilgili bilgilere ilişkin belirli ayarlar vardır. Konumla ilgili özelliklerimizi kullanmasanız bile genel konumunuzu (ör. şehir ve ülke) tahmin etmek için IP adreslerini ve telefon numarası alan kodları gibi diğer bilgileri kullanırız. Konum bilgileriniz tanılama ve sorun giderme amacıyla da kullanılır.”

[5] KVKK madde 10/ Veri sorumlusunun aydınlatma yükümlülüğü

(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. b) Kişisel verilerin hangi amaçla işleneceği,
  3. c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

  1. d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

KVKK madde 11/ İlgili kişinin hakları

(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  2. e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

[6] “WhatsApp, Amerika Birleşik Devletleri dahil olmak üzere Facebook’un küresel altyapısını ve veri merkezlerini kullanır. Bu aktarımlar, Koşullarımızda belirtilen küresel Hizmetleri sağlamak için gereklidir. Lütfen bilgilerinizin aktarıldığı ülke veya bölgelerin kendi ülkeniz veya bölgenizdekinden farklı gizlilik yasalarına ve korumalarına sahip olabileceğini unutmayın.”

[7] Bu noktada Kurul’un Whatsapp ile ilgili vermiş olduğu karara da şu sözleri ile değindi:

“Sunulan hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayabileceği, bu durumun hukuka aykırı olarak verinin işlenmesi sonucu doğurabileceği unutulmamalıdır.

Nitekim Kurul’un önceki kararlarında da belirtildiği gibi kişisel verilerin işlenmesi öncesinde ve/veya sırasında ilgili kişilerden alınan açık rıza, veri sorumlusu tarafından bir hizmetin ifası için ön şart olarak ileri sürülemez.”

[8] “Konumunuzu kişilerinizle paylaşmaya ya da yakındaki konumları veya başkalarının sizinle paylaştığı konumları görüntülemeye karar vermeniz gibi, konumla ilgili özellikleri kullanmayı seçtiğiniz durumlarda, sizden izin alarak cihazınızdan elde edilen hassas konum bilgilerini toplar ve kullanırız. Cihazınızın ayarlar bölümünde veya uygulama ayarlarında bulabileceğiniz, konum paylaşımı gibi konumla ilgili bilgilere ilişkin belirli ayarlar vardır. Konumla ilgili özelliklerimizi kullanmasanız bile genel konumunuzu (ör. şehir ve ülke) tahmin etmek için IP adreslerini ve telefon numarası alan kodları gibi diğer bilgileri kullanırız. Konum bilgileriniz tanılama ve sorun giderme amacıyla da kullanılır.”

“Web tabanlı Hizmetlerimizi sunmak, deneyimlerinizi iyileştirmek, Hizmetlerimizin nasıl kullanıldığını anlamak ve Hizmetlerimizi özelleştirmek dahil olmak üzere, Hizmetlerimizi yürütmek ve sunmak amacıyla çerezleri kullanırız. Örneğin, web ve masaüstü için Hizmetlerimizi ve diğer web tabanlı hizmetleri sunmak için çerezlerden yararlanırız. Çerezleri ayrıca, en popüler Yardım Merkezi makalelerimizin hangileri olduğunu anlamak ve size Hizmetlerimizle ilgili uygun içerikleri göstermek için de kullanabiliriz. Buna ek olarak, dil tercihleriniz gibi seçimleri hatırlamak, daha güvenli bir deneyim sağlamak ve ayrıca Hizmetlerimizi diğer şekillerde sizin için özelleştirmek amacıyla da çerezlerden yararlanabiliriz.”

[9] “Çerezlerle ilgili ayarlarınızı değiştirmek için, tarayıcınız veya cihazınız tarafından temin edilen talimatları takip edebilirsiniz (bunlar genellikle “Ayarlar” veya “Tercihler” başlıkları altında bulunur). Lütfen unutmayın: Tarayıcınızı veya cihazınızı çerezleri devre dışı bırakacak şekilde ayarladıysanız, bazı servislerimiz doğru şekilde çalışmayabilir.”

0

Related Posts

  • March 5, 2021
  • 0
  • 3512

KİŞİSEL VERİLERİN TAAHHÜTNAME YOLU…

Kişisel Verilerin Taahhütname Yolu İle Yurtdışına Aktarılması Hususundaki Son Gelişmeler Kişisel verilerin korunması konusunda oldukça tartışmalı bir alan olan kişisel verilerin yurtdışına aktarımı konusunda Kişisel Verileri Koruma Kurulu (Kurul) ilk…
Read more
  • October 19, 2016
  • 0
  • 3810

Penalty-Free Period of Data…

Law No. 6698 on the Protection of Personal Data (“DP Law”) entered into force earlier this year on 7 April 2016. Although immediately upon its entry into force, processing of…
Read more