KVKK, ferdî bilgilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına imkan tanıyan WhatsApp’ın kuralları ihlal ettiğini belirterek yüklü ölçüde para cezası uygulandığını duyurdu.
Şahsî Bilgileri Müdafaa Kurumu tarafından yapılan açıklama şu formda;
“WhatsApp LLC (WhatsApp/veri sorumlusu) tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların ferdî datalarının işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık istek verilmesini içerecek halde Hizmet Şartlarının ve Kapalılık Unsurunun güncellendiği, bu kapsamda açık istek vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.
Ferdî Bilgileri Müdafaa Şurasının 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına data transferi, hizmetin açık istek kaidesine bağlanması ve genel prensiplere uygunluk konuları başta olmak üzere WhatsApp hakkında 6698 sayılı Şahsî Bilgilerin Korunması Kanunu’nun (Kanun) 15’inci hususunun (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve hususa ait WhatsApp’tan alınan savunma yazıları ve bununla ilişkili olarak WhatsApp Hizmet Şartlarının ve Saklılık Prensibi metinlerinin incelenmesi sonucunda; temel olarak bilgi sorumlusu tarafından kullanıcılara sunulan Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlandığı, Kapalılık Prensibinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi dataların hangi gayelerle işleneceğini göstermekle birlikte esasen Hizmet Şartlarının bir kesimi olarak söz edildiği ayrıyeten Hizmet Şartlarına onay verilmeden mukavelenin yürürlüğe giremeyeceğinin belirtildiği görülmüştür.
Bu kapsamda; Ferdî Bilgileri Müdafaa Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;
- Data sorumlusu tarafından kelam konusu uygulama kapsamında çeşitli şahsî bilgi sürece faaliyetleri bakımından farklı bilgi sürece kurallarına dayanıldığı ve ferdî data işlemeye yönelik açık istek koşulunun ise istisna olarak başvurulan bir kaide olduğu belirtilse de Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlaması nedeniyle mukaveleye onay verilmesi suretiyle ilgili şahısların açık isteğinin alınması yoluna gidildiği, bu çerçevede kullanıcılardan ferdî bilgilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık istek alındığı, kontrata transfere ait karar koymak suretiyle sürece ve transfer faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili şahsa sunulduğu dikkate alındığında, açık isteğin “özgür iradeyle açıklanması” ögesinin zedelendiği,
- Bilgi sorumlusu tarafından Hizmet Şartları ve Kapalılık Unsurunda yer alan “aktarım”a ait tabirlerin müzakereye kapalı nitelikte sunularak ilgili bireylerin mukaveleye bir bütün olarak onay vermeye zorlandığı, bu suretle açık isteğin saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının transfer kaidesine bağlandığı, bu kapsamda ilgili bireylerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak data sorumlusunun bu uygulamasının Kanunun 4’üncü unsurunda yer alan “Hukuka ve dürüstlük kurallarına uygun olma” unsuruna karşıtlık teşkil ettiği,
- İşlenen tüm ferdî bilgilerin transferine ait açık istek istenildiği, lakin bu bilgilerin işlendikleri emelle orantılı ve sonlu bilgiler olmadığı üzere hangi bilginin hangi gayeyle aktarılacağının da bahse mevzu metinlerde net olarak ortaya konulmadığı, bu konuda bilgi sorumlusunca Kanunun 4’üncü hususunda yer alan “belirli, açık ve legal emeller için işlenme” ve “işlendikleri hedefle irtibatlı, sonlu ve ölçülü olma” prensiplerine karşıt hareket edildiği,
- WhatsApp tarafından ferdî bilgilerin işlenmesinin kontratın bir modülü haline getirilmek suretiyle ilgili bireylerden mukaveleye onay vermelerinin istenildiği ve sonrasında “Bir mukavelenin kurulması yahut ifasıyla direkt doğruya ilgili olması kaydıyla, kontratın taraflarına ilişkin ferdî bilgilerin işlenmesinin gerekli olması” kuralı başta olmak üzere öteki ferdî bilgi sürece kaidelerine dayanılarak ferdî bilgilerinin işlendiğinin beyan edildiği fakat görünen süreç mukaveleye onay verme olsa da asıl yapılan sürecin ferdî dataların işlenmesine açık istek alınması niteliğinde olduğu, bu bakımdan kontratın içerisine derç edilerek hizmetin bir şartı olarak dayatılması suretiyle alınan açık isteğin, “özgür iradeyle açıklanması” ögesinin zedelendiği,
- Data sorumlusunun Türkiye’de bulunan ilgili şahıslardan elde ettiği ferdî datalar üzerinde, bu bilgileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma üzere her türlü sürece faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece şahsî dataların yurt dışına transferi manasına geldiği, hasebiyle kelam konusu transferin, Kanunun “Kişisel dataların yurt dışına aktarılması” başlıklı 9 uncu unsuruna uygun olarak yapılmasının mecburilik arz ettiği lakin bilgi sorumlusu tarafından transfer faaliyetleri için hiçbir formda açık isteğe başvurulmadığının beyan edildiği, bununla birlikte data sorumlusunca Konseyimize bir taahhütname müracaatında da bulunulmadığı dikkate alındığında, bilgi sorumlusu tarafından Kanunun 9 uncu hususuna uygun hareket edilmediği,
- Bilgi sorumlusu tarafından, profilleme emeliyle çerezler aracılığıyla yapılacak şahsî bilgi sürece faaliyetine ait olarak ilgili şahıslardan açık istek alınmadığı, bu kapsamda yürütülen şahsî data sürece faaliyetinin de hukuka uygun olmadığı
Ayrıyeten data sorumlusunun;
- Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Şartları ve Zımnilik Unsuru metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili bireylerin hakikat bilgilendirilmesi için kelam konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
- Zımnilik Prensibinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın ögelerini taşımadığı anlaşıldığından, Kanunun 10’uncu hususu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Yöntem ve Asıllar Hakkında Bildirim kararlarına uygun bir aydınlatma yapılması
Kamuoyuna hürmetle duyurulur.”