Kısa zaman önce Whatsapp Inc. tarafından duyurulan gizlilik politikasında yapılması öngörülen güncellemeler toplumumuzda ciddi yankı uyandırdı. Whatsapp Inc. tarafından kullanıcıların kişisel verilerinin Facebook iştirakleri ile paylaşılacağının duyurulması ardından endişelenen vatandaşlarımız daha güvenli olduğunu düşündükleri diğer yazışma platformlarına yöneldiler. Temelde kişisel verilerin korunması ve işlenmesi noktasında benzer politikalara sahip bu platformların kullanımının yaygınlığı ve güncel gelişmeler “kişisel verilerin ne olduğu ve nasıl korunabileceği”noktasında birçok soruyu gündeme getirdi. Bu kapsamda yazımızda kişisel verilerin ne olduğu, mevzuatımızda yer alan temel düzenlemeler, Whatsapp yetkililerince yayınlanan ve daha sonrasında geri adım attıkları uygulamanın mahiyeti ve sonuçları üzerinde durulacaktır.
Kişisel Veri Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ’nda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanuni tanımlamadan yol çıkarak kişisel verinin üç ana unsuru olduğunu söylemek mümkündür. Bu unsurlar; bulunması gerekli veri, kimliği belirli veya belirlenebilir kişi ve verilerin kişiye ilişkin olmasıdır. Kanun gerekçesinde ifade olunduğu üzere bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Bu bağlamda kişilerin ad, soyad, doğum tarihi gibi bilgilerinin yanında özel nitelikli kişisel veriler olarak kabul edilen sağlık bilgileri, cinsel yönelimleri, siyasi düşünceleri gibi hususlarda belirli bir kişi ile ilişkilendirilebilir olduğu müddetçe kişisel veri olarak kabul edilmektedir.
Kişisel Verilerin İşlenmesi, Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi ve Aktarılması Şartları
Kişisel veriler, Kanun gereği kişinin açık rızası ile işlenebilir. Açık rıza prosedürü ancak; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde işletilmez. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olan özel nitelikli kişisel verilerin ise ilgilinin rızası olmadan işlenilmesi yasaktır.Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Her ne kadar ilgili kanunlara uygun olarak işlenmiş olsa da işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin aktarılması hususunda da yine ilgilinin açık rızası aranır. Kişisel veriler, Kanun’un 5. maddesinin ikinci fıkrası ile 6.maddenin üçüncü fıkrasında belirtilen açık rıza alınmasının gerekli olmadığı şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verilerin Korunması Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
Kişisel verileri işlenen ilgili kişinin, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanan veri sorumlusuna başvurarak; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğunu bu aşamada belirtmemiz gerekmektedir.
Whatsapp Gizlilik Politikasının Kişisel Verilerin Korunması Açısından Değerlendirilmesi
Whatsapp Inc. tarafından gizlilik politikasında sözleşme değişikliğine gidileceği, 8 Şubat 2021 tarihine kadar sözleşme değişikliğindeki yeni gizlilik politikası uyarınca onay veren kullanıcıların verilerinin Facebook ve iştirakleri ile paylaşılacağı; sözleşme değişikliğine onay vermeyen kullanıcıların ise uygulamayı kullanamayacağı duyurulmuştu. Gelen tepkilerin ardından firma düzenlenmeyi Mayıs 2021’ye ertelediğini belirterek gerekli açıklamayı yapacağını belirtti. Gizlilik politikası değişikliği neticesinde yazışmalarının,fotoğraflarının, konum, kart bilgileri gibi verilerin aktarılacağı dile getirilmeye başlandı. Mevcut durumda her ne kadar mesajlar uçtan uça şifreleme yöntemi ile korunuyor olsa da firma politikası gereği bu mesajlaşmalara ilişkin verilerin yedeklenmesi sırasında ciddi koruma zafiyetlerinin zaten bulunduğunu vurgulamak isteriz. Aynı zamanda Whatsapp tarafından kullanıcılar arasında iletişimin sağlanması için gerekli olan yetkili kişiler tarafından mesajların kim tarafından, kime, ne zaman ve ne kadar süre ile gönderildiği vb. verileri şifrelememektedir. Sanılanın aksine mevcut durumda da aslında kişisel verilerimizin korunması açısından yeterli korunma bulunmamaktadır.Kullanıcıların ezici çoğunluğunun göz ardı ettiği durum ise alternatif olarak tercih ettikleri uygulamaların bir çoğunda benzer koruma sistemlerinin kullanıyor olması ya da hiç kullanılmamasıdır.
İlgili sözleşme değişikliğinin GDPR’ ın düzenlemelerine tabi olan Avrupa Birliği ülkeleri için geçerli olmayacak oluşu insan hakları bağlamında pek çok ihlali de bünyesinde barındırmaktadır. Ülkemizdeki kullanıcılar açısından KVKK ilgili yasal düzenlemeler çerçevesinde sözleşme değişikliğine ilişkin usul ve esasların ele alınması gerekmekte; uluslararası alanda piyasa aktörlerinin hukuk sistemimize entegre olması da zorunluluk olarak karşımıza çıkmaktadır.
Sözleşme değişikliğinin metninde yer alan politikalardan bağımsız olarak öncelikle yerel mevzuat çerçevesinde ifade etmek gerekir ise Kişisel Verilerin Korunması Kurulu’(“Kurul”)nun 16.04.2018 tarihli ve 2018/19 sayılı Kararı’nda da açıkladığı üzere kişisel verilerin işlenmesi için alınan açık rızanın veri sorumlusu tarafından hizmetin ifası için ön şart olarak sunulması Kanun’un 3.maddesi ile 12.maddesinin 1.fıkrasının a bendine aykırıdır. Whatsapp sunucuları tarafından ilgili verilerin aktarılması Kanun’un 9.maddesi uyarınca yurtdışına veri aktarımıdır ki yukarıdaki bilgi notu incelendiğinde bu husustaki aktarımın sıkı koşullara bağlı olduğu görülecektir. Bu bağlamda Kurul 12.01.2021 tarihli ve 2021/ 28 sayılı Kararı ile kişisel verilerin, yurt dışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurt dışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;
a. Kişisel verilerin işlenmesi ve yurt dışına aktarılmasına yönelik irade beyanlarını ayrıştırmamasının Kanunda belirlenen açık rızanın unsurlarından “özgür irade açıklaması” açısından ihlal oluşturup oluşturmadığı
b. Yurt dışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
c. Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin ifasının ön şartı ile olarak rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
d. WhatsApp Inc. tarafından yurt dışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9'uncu maddesi hükümlerine aykırılık olup olmadığı hususları açısından, WhatsApp Inc. hakkında re’sen inceleme başlatılmasına karar verildiğini duyurdu.
Rekabet Kurulu da 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edilip edilmediği hakkında re’sen soruşturma açılmıştır.
Özetle; Whatsapp işlediği veya yurt dışına aktardığı kişisel veriler açısından yaşanan bu gelime hem dünya genelinde hem de ülkemizde kişisel verilerin korunması hukukunun bireyler tarafından bilinmesinin gerekliliğini göstermiş olmakla kalmadı aynı zamanda benzer sosyal medya platformları açısından da benzer risklerin taşındığını gözler önüne serdi Her iki Kurul tarafından verilecek kararda da ileriki uygulamalar açısından yol gösterici nitelikte olacaktır.
