Facebook tarafından satın alınan WhatsApp uygulamasına ilişkin 4 Ocak 2021 tarihinde “kullanıcı hizmet koşulları ve gizlilik sözleşmesi” kapsamında güncelleme yapılmış ve yeni güncellemeyi kabul etmeyen kullanıcıların 8 Şubat 2021 tarihinden itibaren uygulamayı kullanamayacağı beyan edilmişti. Bu güncelleme kapsamında kullanıcıların WhatsApp uygulamasını kullanmak için kişisel verilerini Facebook ile paylaşması zorunlu kılınmıştı. Başka bir deyişle, açık rızanın verilmesi WhatsApp kullanımının şartı olarak ileri sürülmüştü. Diğer yandan WhatsApp tarafından ilan edilen “Avrupa Bölgesindeki”[1] kullanıcılar için Avrupa Topluluğu Genel Veri Koruma Yönetmeliği (GDPR[2]) uyarınca belirlenen ilkeler doğrultusunda kişisel verilerini Facebook ile paylaşma şartını zorunlu tutmayıp seçme imkânı tanımıştı. Yani, Avrupa Bölgesindeki kullanıcılar bakımından WhatsApp tarafından verilen hizmetten yararlanmak için açık rızanın verilmesi şart olarak ileriye sürülmemektedir.
Bu bildirimle beraber hem kişisel verilen korunması hem de rekabet hukuku kapsamında ortaya çıkan yasal sorunlarla birlikte tüketicilerden de büyük tepki alan WhatsApp Inc. “Gizlilik Sözleşmesi”nin tüketiciler tarafından kabul edilmesine ilişkin süreyi 15 Mayıs 2021 tarihine kadar uzatmaya karar verdiğini açıklamıştı.
2021 yılında WhatsApp tarafından yapılan bu duyuru ile söz konusu uygulama Türk Hukuku açısından ne tür ihlallere sebep olabilir ve uygulama nasıl olacak herkes için merak konusu oldu.
Kişisel Verilerin Korunması Kanunu açısından sözleşmenin değerlendirilmesi:
7 Nisan 2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) madde 2 uyarınca işbu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanması amacıyla yürürlüğe girmiştir.
Kanun uyarınca verilerin işlenebilmesi için kişinin açık rızası aranmaktadır. Ancak ilgili Kanun kapsamında belirtilen istisnalardan birinin var olması halinde açık rıza aranmaksızın kişisel verilerin işlenebileceği belirtilmiştir. Açık rıza ise Kanun uyarınca belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve bilgilendirmeden ayrı olarak özgür iradeyle açıklanan rızayı ifade etmektedir. Burada üstünde durulması gereken en önemli unsurlardan biri de açık rızanın her zaman veri sahibi tarafından geri alınabileceğidir.
Kişisel Verileri Koruma Kurul’u (“Kurul”) kararları uyarınca kişisel verilerin işlenebilmesi için veri sahiplerinden alınan açık rızanın veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyeceği belirtilmiştir. Kanun, kişisel verilerin işlenmesi hakkında genel ilkeler ve şartlar belirlemiştir. Bu itibarla madde 4 uyarınca kişisel verilerin işlenebilmesi için:
- Hukuka ve dürüstlük kurallarına uygun olması,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi
gerekmektedir.
Yine Kanun uyarınca kişisel verilerin 3. kişilere ve yurtdışına aktarımı için veri sahibinin açık rızası gerekir. Ancak Kanun’da söz konusu açık rızanın aranmadığı istisnalar da belirtilmektedir. Özellikle yurtdışına veri aktarımı yapılması halinde Kanun uyarınca aşağıdaki şartların karşılanması beklenir:
- İlgili ülkede yeterli korumanın bulunması,
- İlgili ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
Peki tüm bu hükümler ışığında, WhatsApp Inc şirketinin uygulamayı kullanmak isteyen kullanıcılarına, kişisel verilerinin işlenmesi ve verilerin yurtdışında bulunan üçüncü şahıslara aktarılmasına ilişkin açık rıza verilmesi şartını zorunlu tutması Kanun ile ne kadar uyumlu olacağı inceleme konusudur. Kurul, Amazon kararında da bu şekilde açık rızanın hizmetten faydalanmak için şarta bağlanmasının açık rızayı sakatladığı istikametinde hüküm kurmuştur.
Her ne kadar WhatsApp Inc., yeni gizlilik uygulaması kapsamında hangi verileri hangi amaçla işleyeceğinden bahsetmişse de amaç ve diğer üçüncü taraf veri sorumlularını net bir şekilde ifade etmemişti. Bu kapsamda Kurul 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatmaya karar vermiş ve 08.02.2021 tarihinde yeniden bir değerlendirme yapacağını kamuoyuna duyurmuştu. İncelemeye alınan hususlar ise aşağıdaki şekildeydi:
- Kullanıcılardan açık rıza talep edilirken kişisel verilerin işlenmesi ve verilerin yurtdışına aktarılmasına yönelik işlemler açısından rıza verilmesi hususunun ayrıştırılmaması sebebiyle açık rızanın özgür iradeyle açıklanması açısından bir ihlalin oluşup oluşmadığı,
- Kişisel verilerin işlenmesi için Kanun kapsamında belirtilen ilkeler açısından bir ihlale sebebiyet verilip verilmediği,
- Önceki Kurul kararları ışığında hizmetin verilmesi için açık rıza koşulunun öne sürülmesinin açık rızayı sakatlayabileceği hususu,
- Kişisel verilerin yurt dışına aktarılması için Kanun uyarınca belirtilen şartların sağlanıp sağlanmadığı.
Rekabetin Korunması Hakkında Kanun maddeleri uyarınca sözleşmenin değerlendirilmesi:
KVKK tarafından başlatılan incelemenin yanı sıra Rekabet Kurulu da Facebook ve WhatsApp hakkında resen soruşturma başlattığını ve WhatsApp verilerinin paylaşılması zorunluluğunun alınan geçici tedbir kararına istinaden durdurulduğunu 11 Ocak 2021 tarihinde kamuoyuna duyurmuştu.
4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesi uyarınca bir veya birden fazla teşebbüsün ülkenin bütününde ya da bir bölümünde bir mal veya hizmet piyasasındaki hâkim durumunu tek başına yahut başkaları ile yapacağı anlaşmalar ya da birlikte davranışlar ile kötüye kullanması hukuka aykırı ve yasaktır.
Piyasadaki hakim durumun kötü kullanılıp kullanılmadığına ilişkin başlatılan soruşturma kapsamında Rekabet Kurulu anlık mesajlaşma platformlarının açık ara lideri pozisyonundaki WhatsApp’ın bu yeni gizlilik uygulaması ile veri sahiplerinin verilerinin diğer Facebook şirket ürün ve verilerine bağlanmasının, pazardaki gücünü rakiplerinin faaliyetini zorlaştıracak şekilde kullanmasının ve gereğinden fazla veri toplanarak bu verilerin başka hizmetler için kullanılacak olmasının tüketiciler açısından ciddi ve telafisi güç zararlar doğurma ihtimalini haiz olduğundan bahisle 4054 sayılı Kanun’un 9. maddesi uyarınca geçici tedbir kararı aldığını açıklamıştı.
Güncel Gelişmeler:
Tüm bu tartışmalara yol açan ve kullanıcıların alternatif anlık mesajlaşma platformlarına yönelmesine sebep olan gizlilik sözleşmesi ile ilgili WhatsApp, daha önce gizlilik sözleşmesini kabul etmeyen kullanıcıların 15 Mayıs 2021 tarihinden sonra uygulamaya giremeyeceğine dair kararını esnetti ve bu tarihten sonra sözleşmeyi kabul etmeyen kullanıcıların kullanımlarının kademeli olarak sınırlandırılacağını ifade etti.
İlk olarak kullanıcılar gizlilik sözleşmesini kabul etmeleri gerektiğine dair bildirim alacaklar ve bir süre sonra bu bildirim kalıcı olarak kullanıcılara gözükmeye başlayacak. 15 Mayıs tarihinden sonra sözleşmeyi onaylamayan kullanıcıların hesaplarında işlevsellik azalacak. Her ne kadar kullanıcılar mesaj ve arama bildirimlerini görebilecek olsa da sınırlı bir kullanımdan yararlanabilecek. Sözleşmeyi onaylamayan kullanıcıların hesapları 15 Mayıs tarihinden itibaren 120 gün boyunca pasif olacak ve kullanıcılara bu süre boyunca sözleşmeyi onaylayabilme imkânı tanınacak. 120 gün boyunca etkin olmayan hesaplar da bu sürenin sonunda silinecek.
Ancak bu uygulama devreye girmeden Rekabet Kurumu 21.05.2021 tarihinde bir duyuru yaparak Rekabet Kurumu tarafından alınan tedbir kararı ve yapılan incelemeler sonrasında WhatsApp tarafından veri paylaşımını içeren söz konusu güncellemenin, onaylayan kullanıcılar dâhil olmak üzere, Türkiye’deki hiçbir kullanıcı açısından yürürlüğe girmeyeceğini belirtti. Her ne kadar Rekabet Kurumu bu durumun WhatsApp tarafından kendilerine iletildiğini belirtse de WhatsApp güncellemenin Türkiye’yi kapsamayacağına dair henüz kesin bir kararları bulunmadığını açıkladı ve meseleyi askıya aldı. Bu aşamada WhatsApp’ın Rekabet Kurulu’nun kararını teyit etmediğini belirtmekte fayda var. Diğer bir deyişle, WhatsApp yalnızca henüz kesinleşmiş bir uygulamalarının olmadığını ifade ederek 15 Mayıs 2021 tarihinde açıklanan uygulama şeklini bugüne kadar devreye sokmaktan imtina etmiş bulunuyor.
Kısacası hala tam bir netlik kazanmayan bu konuda henüz Kişisel Verileri Koruma Kurulu da ihlale ilişkin incelemesi hakkında kararını açıklamadı.
Tüm bu gelişmeler itibariyle güncelleme iptal edilirse Türkiye’nin de muafiyet tanınmış olan “Avrupa Bölgesi’ne” dahil olması öngörülmekte.
Bugün içinde bulunduğumuz durum itibariyle aşağıdaki hususların açıklığa kavuşturulması beklenmektedir:
- WhatsApp’ın Rekabet Kurulu’nun vermiş olduğu karara uyup uymayacağı ve bu kapsamda uygulamasını değiştirip değiştirmeyeceği ile
- Kişisel Verileri Koruma Kurulu tarafından yapılacak incelemenin sonucunun açıklanması
Uzun lafın kısası bu konu güncel kalmaya devam etmektedir.
[1] Andora, Avusturya, Azor Adaları, Belçika, Bulgaristan, Kanarya Adaları, Channel Adaları, Hırvatistan, Çek Cumhuriyet, Danimarka, Estonya, Finlandiya, Fransa, French Guyanası, Almanya, Gibraltar, Yunanistan, Guadölup, Macaristan, İzlanda, İrlanda, Isle of Man (İngiliz Kraliyetine bağlı İrlanda denizinde bir ada ülkesi), İtalya, Letonya, Lihtenştayn, Litvanya, Lüksemburg, Madeira Adası, Malta, Martinik, Mayotte Adası, Monako, Hollanda, Norveç, Polonya, Portekiz, Kıbrıs Cumhuriyeti, Réunion (Fransız adası), Romanya, San Marino, Saint-Martin Adası, Slovakya, Slovenya, İspanya, İsveç, İsviçre, Birleşik Krallık, Kıbrıs’taki Birleşik Krallık Egemen Üsleri(Akrotiri and Dhekelia) ve Vatikan.
[2] EU General Data Protection Regulation 2016/679
Yazar: Burcum EVGİN