KVK Kurulu WhatsApp Hakkında Yürüttüğü Soruşturmayı Sonuçlandırdı

WhatsApp uygulamasını yürüten, Facebook şirketler grubuna ait WhatsApp LLC; bu yılın başında uygulamanın kullanım koşulları ve gizlilik politikasına getirdiği güncelleme ile kullanıcılarının kişisel verilerini Facebook şirketleri ile paylaşacağını, verilerinin paylaşılmasına rıza göstermeyen kullanıcıların uygulamayı kullanamayacağını bildirmişti. Kamuoyunda büyük tepki getiren güncelleme hakkında hem global çapta hem de Türkiye kurumlarında soruşturmalar başlatılmış, WhatsApp politikası kişisel verileri koruma hukuku bakımından da incelenmiştir.

Kişisel Verileri Koruma Kurulu (“KVK Kurulu” veya “Kurul”) tarafından 12.01.2021 tarihli duyuru ile konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında incelenmek üzere resen soruşturma başlatıldığı bildirilmiştir. KVK Kurulu, 03.09.2021 tarihinde internet sitesi üzerinden yayınladığı duyuru ile soruşturmayı sonuçlandığını bildirmiş, veri sorumlusu WhatsApp LLC kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü gerekli teknik ve idari tedbirleri almadığı gerekçesiyle 1.950.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili karara göre;

Yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere KVKK kapsamında inceleme yürütülerek konuya ilişkin veri sorumlusu WhatApp LLC’den savunma yazıları alınmış, WhatsApp Hizmet Koşulları ve Gizlilik İlkesi metinleri incelenmiş ve öncelikle Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme niteliğinde olduğu tespit edilmiştir. Bu kapsamda Gizlilik İlkesi şeffaflığı sağlamaya yönelik bir metin olarak, kullanıcılara hangi verilerin hangi amaçlarla işleneceğini açıklamakta olup Hizmet Koşullarının bir parçasıdır.

Kurul incelemesinde, veri sorumlusu WhatsApp LLC’nin çeşitli kişisel veri işleme faaliyetleri bakımından farklı veri işleme şartlarına dayandığını, açık rıza şartının ise istisnai olarak başvurulduğunu belirtmesine karşın, kullanıcı ile yapılan bir sözleşme olan Hizmet Koşullarına onay verilmesi suretiyle açık rıza alındığını, bu şekilde kullanıcılardan kişisel verilerinin işlenmesi ve yurt dışına veri aktarımı için açık rızanın şart koşulduğunu ifade etmektedir. Buna göre ilgili uygulama, açık rızanın “özgür iradeyle açıklanması” unsurunu zedelemektedir.

Bununla birlikte Hizmet Koşulları ve Gizlilik İlkesinde yer alan veri aktarımına ilişkin ifadelerin müzakereye kapalı nitelikte sunulduğu ve sözleşmenin bütününe onay vermesiyle yurt dışına veri aktarımına da onay vermeye zorlandığı değerlendirilmiştir. Kurul kararına göre bu husus, ilgili kişilerin çıkarları ve makul beklentilerini göz önüne almaksızın uygulanarak KVKK 4. maddede kişisel veri işleme genel ilkeleri arasında yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil etmektedir.

Ayrıca, veri sorumlusu şirket söz konusu sözleşme ile işlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istemekte, ancak kararda belirtildiği üzere bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmaması, ek olarak hangi verinin hangi amaçla aktarılacağının da net olarak ortaya konulmaması KVKK kapsamında kişisel veri işleme genel ilkelerinden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiğini gösterdiğine kanaat getirilmiştir.

Bir diğer önemli husus ise Kurulun WhatsApp tarafından dayanılan kişisel veri işleme şartı olarak “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına ilişkin değerlendirmesidir. Nitekim Kurul, WhatsApp tarafından ilgili sözleşmeye onay verilmesinin aslen kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğunu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle açık rızanın “özgür iradeyle açıklanması” unsurunu zedeleyerek alındığını ifade etmiştir.

Kurulun bu değerlendirmesi özellikle sözleşme kurulması ve ifası gerekliliği olarak veri işleme şartına dayanan veri sorumlularına, bu veri işleme şartına dayanılabilmesi için söz konusu sözleşmenin kişisel veri işleme faaliyetini gerektirmesi gereken bir kapsamı bulunmasının kastedildiğini, ancak kişisel veri işleme faaliyetlerini şart koşmaması gerektiğini göstermektedir.

Kurul kararında ayrıca, Türkiye’de bulunan ilgili kişilerden elde edilen kişisel verilere dair yapılan kaydetme, depolama, değiştirme, aktarma gibi her türlü faaliyetin verilerin toplandığı ve işlendiği sunucuların Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımını teşkil ettiğini ifade ederek, WhatsApp LLC tarafından bu hususa da aykırı davranılarak KVKK 9. maddede yer alan yurt dışına veri aktarımı koşullarına uyulmadığını tespit etmiştir.

Son olarak veri sorumlusu şirketin, profilleme amaçlı çerezler vasıtasıyla kişisel veri işleme faaliyeti gerçekleştirdiği, ancak bu faaliyete dair de ilgili kişilerden açık rıza almadığı, dolayısıyla hukuka aykırı kişisel veri işleme faaliyetinde bulunduğu tespit edilmiştir.

Tüm bu hususları değerlendiren Kurul, WhatsApp LLC’ya yürütülen soruşturma neticesinde KVKK md. 12 doğrultusunda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı gerekçesiyle 1.950.000-TL idari para cezası uygulanmasına karar vermiştir.

Bununla birlikte veri sorumlusu tarafından uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, hali hazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşılmış ve ilgili kişilerin doğru bilgilendirilmesi amacıyla söz konusu metinlerin üç ay içerisinde KVKK’ya uygun hale getirilmesi, ayrıca Gizlilik İlkesinin aydınlatma metni esaslı unsurlarını taşımadığı anlaşılarak KVKK ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun hale getirilmesi konusunda talimatlandırılmıştır.

Global çapta ses getiren WhatsApp güncellemesi uluslararası veri koruma mevzuatları bakımından soruşturmalara konu olmuş, 02.09.2021 tarihinde İrlanda Veri Koruma Otoritesi de soruşturmasını tamamladığını bildirerek ilgili veri sorumlusu şirkete veri işleme faaliyetlerinde şeffaflık, aydınlatma ve bilgilendirme yükümlülüklerine uymadığı gerekçesiyle 225 Milyon Euro idari para cezası uygulanmasına karar verildiğini duyurmuştur.

WhatsApp uygulaması hakkında gündem olan konuya ilişkin detaylı bilgiyi KVK & Siber Güvenlik Bültenimizin Şubat 2021 sayısından edinebilir, KVK Kurulunun duyurusuna ise buradan ulaşabilirsiniz. Kişisel verilerin korunmasına ilişkin gündemi takip etmek için duyurularımız ve bültenlerimizi takip edebilirsiniz.

KVK Kurulu WhatsApp Hakkında Yürüttüğü Soruşturmayı Sonuçlandırdı

Share This Story, Choose Your Platform!

İlişkili Yazılar

ANAYASA MAHKEMESİ TÜRK MEDENİ KANUN’UN 166. MADDESİNİN DÖRDÜNCÜ FIKRASININ İPTALİNE KARAR VERDİ

2024 YILI ŞUBAT DÖNEMİ SGK PRİM BORÇLARININ KDV MAHSUBU İLE 26.04.2024 TARİHİNE KADAR ÖDENMESİ HAKKINDA DUYURU YAYIMLANDI

ANAYASA MAHKEMESİ ARABULUCULUK KANUN’UN 18/A MADDESİNİN 11. FIKRASININ İKİNCİ CÜMLESİNİN İPTALİNE KARAR VERDİ

TİCARET BAKANLIĞI REKLAM KURULU BAŞKANLIĞI TARAFINDAN YAYIMLANAN BASIN BÜLTENİNDE KURULCA KARARA BAĞLANAN 134 ADET ŞİKÂYETE YER VERİLDİ

REKABET KURUMUNDAN İLAÇ SİRKETLERİNE YÜKLÜ MİKTARDA CEZA KESİLDİ