10.09.2021
Yazarlar: Berfu Yalçın, Serdarhan Güler
WhatsApp LLC.’nin (WhatApp/ Veri Sorumlusu) 2021 yılının başlarında, kullanıcılarının kişisel verilerinin, yurtdışında yerleşik üçüncü kişilere aktarımının uygulamanın kullanılması için zorunlu bir unsur olarak dayatması ülke çapında geniş bir yankı uyandırmış ve bir süre boyunca gündemi oldukça meşgul etmişti. Bu çerçevede, Kişisel Verileri Koruma Kurulu da bu durumu mercek altına alarak, yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere WhatsApp LLC hakkında resen inceleme başlatılmasına karar vermişti.
Kurul nihayet 03.09.2021 tarihinde yayınladığı kamuoyu duyurusu ile incelemelerin tamamlandığını ve WhatsApp LLC hakkında 1.950.000 TL idari para cezası uygulanmasına karar verildiğini açıkladı. Kararın gerekçesini ise Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlanması ve sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidilmesi, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alınmış olması, sözleşmeye aktarımailişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulması da dikkate alındığında, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelenmiş olması oluşturmaktadır.
Bu çerçevede, kişisel verilerinin işlenmesinde açık rıza verilmesini gerektiren hallerde, Kanun uyarınca, münhasıran özgür iradeyle rıza verilebilecek olmasına karşın, WhatsApp tarafından kullanıcının iradesinin alınmasını hizmetin gerçekleşmesi için sözleşmede bir koşul olarak öne sürmesi de açık rızanın “özgür iradeyle açıklanması” unsurunu zedeleyecek nitelikte olduğu Kurul tarafından tespit edilmiştir. Sözleşmede yer alan “aktarım” konusundaki ifadelerin müzakereye kapalı olarak kullanıcılara dayatıldığı, bunun ise KVKK madde 4 uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği de karardaki bir diğer önemli tespittir.
Her ne kadar WhatsApp işleyecek olduğu bilgiler hakkında kullanıcılarından açık rıza istemiş olsa da bu rıza tüm kişisel verilere ilişkin olarak istenmiştir. Bu yolla verilerin işlenmesi için istenilen rıza, verilerin işlenme amacıyla sınırlı değildir. Üstelik hangi verilerin hangi amaçla aktarılacağı da açıkça belirtilmemiştir. Bu nedenlerle, veri sorumlusu WhatsApp LLC.’nin, KVKK’nın 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket ettiği Kurul’ca belirlenmiştir.
Kurul tarafından bir diğer inceleme ise kişisel verilerin yurt dışına aktarılmasını düzenleyen KVKK m.9 bağlamında yapılmıştır. Veri sorumlusu (WhatsApp) tarafından aktarım faaliyetleri için hiçbir şekilde kullanıcılarının açık rızasına başvurulmadığı ve bununla birlikte veri sorumlusunun Kurul’a bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusunun kanunun ilgili maddesine uygun davranmadığı tespit edilmiştir.
Ayrıca karara ilişkin bir diğer önemli nokta, veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmaması ve bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka aykırılığıdır. Bu çerçevede, kararın işaret ettiği dikkate değer hususlardan birisi de çerez kullanımına ilişkin olarak ilgili kişilerden açık rıza alınması zaruretidir. İlgili kişinin açık rızasının gerektiği hallerde, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5/f maddesi uyarınca aydınlatma yükümlülüğünün ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği hususu unutulmamalıdır.
Bu açıklamalar doğrultusunda, Kurul WhatsApp LLC.’ye 1.950.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, hâlihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesine ve Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, KVKK madde 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması ve söz konusu işlemlerin sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına karar vermiştir.
Dolayısıyla ilgili karar ile idari para cezasının yanı sıra, KVKK madde 15/5 uyarınca Kurul tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verilmiştir. İlgili madde uyarınca bu kararın tebliğden itibaren gecikmeksizin ve en geç otuz gün içerisinde yerine getirilmesi gerekmektedir. Kurul’un aykırılıkların giderilmesi yönündeki kararının süresi içerisinde giderilmemesi halinde ise KVKK’nın 15/7 maddesi uygulama alanı bulacaktır. Buna göre Kurul’un veri işlenmesinin veya verilerin yurtdışına aktarılmasının durdurulmasına karar vermesi mümkündür. Bu doğrultuda, kararı izleyen süreçte, kararın WhatsApp LLC.’nin politikaları üzerindeki etkisi ve Kurul talimatlandırılmasına uyulmaması halinde Kurul tarafından izlenecek yolun ne olacağı ilerleyen günlerde belli olacak.
