WhatsApp Güncellemesi: Yeni Bir Alternatif Aramanın Zamanı Geldi Mi?

Dünya genelinde en popüler mesajlaşma uygulamalarından biri olan WhatsApp 2 milyar kişi tarafından kullanılmakta olup uygulama üzerinden günde 100 milyar mesaj gönderilmektedir. 2010 yılında “ Gizliliğinize saygı DNA’mıza kodlanmış” iddiası ile günlük hayatlarımıza dahil olan WhatsApp , 2014 yılında 19 milyar Dolar’a Facebook tarafından satın alındı.

Yakın zamanda ise Hizmet Koşulları ve Gizlilik ilkesine ilişkin güncellemesini duyurarakkullanıcılarının bu yeni güncelleme şartları 8 Şubat 2021’ e kadar kabul etmesi gerektiğini açıkladı ve tartışmaları da beraberinde getirdi.

Bu yazıda öncelikle uygulamanın bizden hangi bilgileri topladığına ve ne şekilde kullanılacağına değinilerek  bu yeni güncelleme ile gelen gizlilik ilkesi ve hizmet koşulları değişikliğinin hukuki olarak değerlendirmesi yapılacaktır.

–

WhatsApp Bizden Hangi Bilgileri Topluyor ?

WhatsApp tarafından toplanan bilgiler üç gruba ayrılmış durumda:

–

1. Kullanıcılar tarafından verilen bilgiler

• Hesap Bilgileri; cep telefonu numarası , profil adı gibi temel bilgiler.
• Mesajlar ; “henüz gönderilmemiş mesajlar” ve “tekrar gönderilen fotoğraflar” ile sınırlandırılmıştır.
• Bağlantılar;izin verildiği taktirde telefon rehberi ve WhatsApp grupları.
• Durum Bilgisi
• İşlem ve Ödeme Verileri; WhatsApp LLC üzerinden gerçekleştirilen alışverişlere ilişkin finansal veriler.
• Müşteri Desteği ve Diğer İletişimler; uygulama ile ilgili herhangi bir müşteri desteği alındığından toplanan bilgiler.

–

2. WhatsApp Tarafından Otomatik Toplanan Bilgiler

• Kullanım ve Kayıt Bilgileri
• Cihaz ve Bağlantı Bilgileri
• Konum Bilgileri
• Çerezler

Kullanım esnasında uygulama tarafından sağlanan hizmetlerin nasıl kullanıldığı, işlem ve etkileşimlerin zamanı, sıklığı, uygulamada yaşanan çökme vb. problemlerin tespiti, kullandığımız cihazın pil seviyesi, sinyal gücü, konum bilgileri gibi daha bir çok bilgi ise WhatsApp tarafından otomatik olarak toplanmaktadır.

Örneğin herhangi bir internet sitesinden “WhatsApp ile paylaş” özelliğini kullanarak paylaşım yapıldığı takdirde ya da WhatsApp üzerinden link aracılığı ile başka bir internet sitesine giriş yapılır ise kullanılan web sitesi ya da uygulamanın gizlilik politikasının izin verdiği ölçüde bilgileri Facebook ile paylaşılabilecektir.

–

3. Üçüncü Taraf Bilgileri ve İşletme Bilgileri

• Başkalarının Sizin Hakkında Sağlandığı Bilgiler
• Kullanıcı Şikayetleri
• WhatsApp’ taki İşletmeler
• Üçüncü Taraf Hizmet Sağlayıcıları
• Üçüncü Taraf Hizmetleri

WhatsApp “Hizmetlerimizin yürütülmesi, sağlanması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması” amacıyla bu bilgilerin alınması ve toplanmasının bir zorunluluk olarak ifade etmektedir.

–

Toplanan Bilgiler Nasıl Kullanılıyor ?

• Hizmetler
• Emniyet, Güvenlik ve Bütünlük
• Hizmetler ve Facebook Şirketleri Hakkındaki İletişimler
• Kurumsal Etkileşimler

Toplanan bu bilgiler, uygulama tarafından verilen hizmetin iyileştirilmesi, düzenlenmesi , kullanıcıların korunması, Facebook şirketlerinin (İnstagram, WhatsApp, Messenger) hizmetlerinin kullanıcılara pazarlanması amacıylave de benzer şekilde işletmelerin işlemler, randevular ve teslimat bildirimleri, pazarlama içerikleri gönderebilmesi amacıyla kullanılabilecektir.

Bu yeni güncellemesi ile genel olarak kullanıcılar tarafından uygulama üzerinden paylaşılan bilgiler /veriler (sadece mesajlar değil aynı zamanda ses kayıtları, fotoğraflar, videolar, konum ve kişisel bilgiler gibi) WhatsApp aracılığı ile Facebook ve tüm bağlı kuruluşlar ile yasal olarak işlenebilecek ve kullanılabilecek. Keza Facebook bu verileri üçüncü taraf şirketler ile de paylaşabilecektir.

–

Peki Ya Uçtan Uca Şifreleme ?

WhatsApp ‘ın sahip olduğu “uçtan uca şifreleme” (End to End Encryption/E2E) özelliği ile alıcı ve mesaj gönderdiği kişi arasında gerçekleşen video/ sesli aramalara, görsellere, mesajlara üçüncü kişiler ve WhatsApp tarafından erişilememektedir. Bu özellik sayesinde iki taraf arasında ki mesajlar bir kilit aracılığı ile güvence altına alınmaktadır ve bu kilit sadece konuşmacılarda yer alan anahtar ile açılabilmektedir. Bu şifreleme özelliği yeni güncellemede var olmaya devam etmektedir. Ancak yeni güncelleme ile “ teslim edilmeyen mesajlar” ve “medya iletme”durumlarında kullanıcı mesajları WhatsApp tarafından saklanabileceği ifade edilmiştir. Bu saklama “teslim edilmeyen mesajlarda” 30 gün iken  “medya iletme” durumunda ise geçici bir süre olarak belirtilmiştir.

–

Güncellemenin Hukuki Boyutu

2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca WhatsApp’ın bu yeni gizlilik politikası güncellemesi kişisel verilerin işlenmesine ilişkin temel ilkeler ve yurtdışına veri aktarımı noktasında problem teşkil etmektedir.

Kişisel verilerin işlenmesine dair genel ilkeler KVKK m. 4’ de düzenlenmiştir. Bu maddeye göre kişisel verilerin işlenebilmesi için “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlarla işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”, “mevzuatta öngörülen veya işlenme amacı için gerekli süre kadar muhafaza edilme” ilkelerine uyulması yasal olarak zorunludur.

Kişisel Verileri Koruma Kurulunun 2019/104 sayılı Facebook kararı bu yeni güncellemenin yorumlanmasında yol gösterici niteliktedir, kararda “Facebook’a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflara da söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate alındığında, Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha fazla sayıda fotoğraflara erişim sağlanmasının, Kanunun 12 nci maddesinin (1) numaralı fıkrasına ve4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği…”ifadelerine yer verilmiştir.

WhatsApp yeni güncellemesinde işleyeceği verileri başlıklar halinde saymış olsa dahi bu başlıklar altında verilen izinler için kullanılan ifadelerin, genel ve muğlak bir şekilde kullanılması, verilen izinlerin geniş bir şekilde yorumlanmasına imkan tanımaktadır.

Toplanan verilerin hukuka uygun bir şekilde işlenebilmesi için gerçekleştirilecek faaliyetin belirli, açık ve meşru olması gerekmektedir. Ancak bu güncelleme ile ifade edilen amaç belirlive açık olmanın aksine kafalar da daha çok soru işareti oluşturmaktadır.

Yukarıda verilen 2019/104 sayılı Kurul kararında açık rızaya ilişkin olarak ise“Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının yada ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir…”açıklaması yapılarak idari para cezasına hükmedilmiştir.

KVKK m. 5 uyarınca kişisel verilerin işlenebilmesi için açık rızanın varlığı aranmaktadır “Açık rıza” KVKK m. 3/1 a ‘ da tanımlanmış olup, bu tanımlamaya göre açık rızadan bahsedilebilmesi için;

• Belirli bir konuya ilişkin olması
• Rızanın bilgilendirmeye dayanması
• Özgür iradeyi açıklaması

söz konusu olmalıdır. Açık rızanın varlığı halinde kişi sahip olduğu verilerin işlenmesine kendi isteği ile hukuka uygun olarak onay vermiş olacaktır.

WhatsApp, 8 Şubat’a kadar yeni güncellemeyi kabul etmeyen kullanıcılarının artık uygulamadan yararlanamayacağını ifade etmiştir. Güncel gizlilik politikasını kabul etmeyen kullanıcılara uygulamayı kullanmamaktan başkaseçenek sunulmaması nedeniyle verilen bu rızasının özgür iradeye dayandığını söylemek mümkün olmayacaktır, özgür iradeye dayanmayan bu onayın ise KVKK m. 3 kapsamında bir açık rıza olarak değerlendirilmesi mümkün değildir. Nitekim yukarıda verilen 2019/104 sayılı kararda hizmetten yararlanmanın ön şartı olarak ileri sürülen bir rızasın açık rıza olarak nitelendirilemeyeceği belirtilmiştir.

WhatsApp sunucularının yurtdışında bulunması nedeniyle Türkiye’deki kullanıcıların kişisel verilerinin aktarımı hususu “ülkesellik ilkesi” gereği KVKK uygulamasına tabi olacaktır. Bu nedenle gizlilik ilkesi ve hizmet koşullarına ilişkin güncellemenin KVKK m. 9’ da yer alan kişisel verilerin yurtdışına aktarımı hususunda değerlendirmesi de gerekmektedir.

KVKK m.9’ da belirtilen yurtdışına verilerin aktarılması için aranan açık rızanın söz konusu olabilmesi için gizlilik politikası güncellemesi ile kişisel verilerin nasıl işleneceğinin, yurtdışına aktarım usullerinin, saklanma süresinin, kullanım amacının ve imhasının net ve tatmin edici şekilde açıklanması gerekmektedir. Ancak güncellemede bu konular detaylı bir şekilde ele alınmamış durumdadır.

–

Güncelleme Avrupa’da Neden Yok ?

Güncellemede dikkat çeken bir diğer husus ise bu yeni güncellemenin AB ülkelerinde geçerli olmamasıdır. AB ( Avrupa Birliği) ülkelerinde geçerli olan GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) kapsamında kişisel verilerin işlenmesi, saklanması, kullanılma amacı ve imhasına ilişkin katı düzenlemeler yer almakta. Esasen 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nda kişisel verilerin işlenmesi sıkı bir şekilde düzenlenmiş durumdadır. Nitekim bu kanunun temelleri Avrupa Konseyi tarafından düzenlenen 108 sayılı “ Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması” sözleşmesidir.

Ancak AB ve ABD arasındaki veri aktarıma ilişkin olarak 16.07.2020 tarihli dava (C-311/18, Schrems II) ülkemizde ileri sürülen bu yeni güncellemenin şartlarının neden AB ülkelerinde aynı şekilde uygulanmadığına ışık tutacak niteliktedir. Facebook Ireland Limited veMaximillian Schrens tarafı olduğu davada ABAD ( Avrupa Birliği Adalet Divanı), AB ve ABD arasındaki veri aktarımını ve koşullarını incelemiştir. Divan inceleme sonrasında AB ve ABD arasındaki Gizlilik Kalkanı’nın ( Privacy Schield) AB hukukunca yeterli ve eşdeğer bir koruma sağlamayacağından AB dışı veri aktarımlarında kullanılamayacağını ve Gizlilik Kalkanı’nın geçersiz olduğuna karar vermiştir.Kararda AB dışında kurulan veri sorumlularına yönelik düzenlenen kişisel verilerin aktarımına ilişkin standart sözleşme maddelerine uyulmaması ve AB ülkeleri mevzuatına göre yeterli düzeyde korumanın sağlanmasına yönelik ek güvenceler olmaması durumu değerlendirildiğinde ise veri sorumlusunun faaliyetini askıya alması ve/ veya sonlandırmasının gerekliliğine de vurgu yapılmıştır. Bu karar ile birlikte ABD ve AB arasındaki veri aktarımına ilişkin olarak yeni bir döneminbaşladığı kabul edilmektedir. Bu kararın verilmesinde Avrupa Birliği bünyesinde bulunan veri korumasına ilişkin otoritelerin kararlı tavrı ve GDPR’nın istikrarlı kullanımı etkili olmuştur.

–

Rekabet Kurulu ve Kişisel Verileri Korunma Kurulu’nun Konuya İlişkin Açıklamaları

Bir çok noktada ülkemizde yürürlükte olan KVKK hükümlerine denk düşmeyen bu gizlilik ilkesi ve hizmet koşulları güncellemesine yönelik olarak Rekabet Kurulu ve Kişisel Verileri Koruma Kurulundan açıklama getirilmiştir.

Rekabet Kurulu 11.01.2021 tarihli 21-02/25-M sayılı kararıyla uygulamanın kullanıcılara getirdiği bu veri paylaşma zorunluluğuna ilişkin olarak Facebook Inc. , Facebook Ireland Ltd., Whats App Inc ve Whats App LLC hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanunun 6. Maddesini ihlal edip etmediğinin tespiti ilişkin olarak resen soruşturma açıldığını kamuoyuna duyurmuştur.Kurul“hakim durumun kötüye kullanılması” maddesinin ihlalinin söz konusu olup olmadığı incelenecek olup, soruşturma süresince oluşabilecek ciddi zararları engellemek amacıyla WhatsApp ‘ın veri paylaşma zorunluluğunun ve getirilen yeni koşulların durdurulmasına ilişkin8 Şubat 2021 tarihine kadar bildirim yapması gerektiğine karar vermiştir.

12.01.2021 tarihinde ise Kişisel Verileri Koruma Kurulu , konuya ilişkin olarak WhatsApp Gizlilik İlkeleri ve Facebook Şirketlerine resen inceleme başlattığını kamuoyuna duyurmuştur. Kurulyaptığı ön değerlendirmede şu hususların;

• Kişisel verilerin işlenmesi ve yurtdışında ki üçüncü kişilere aktarılmasına ilişkin rıza alınma işleminin ayrıştırılmadığından bahisle açık rıza unsurlarından “ özgür iradeyle açıklanması” hususunda bir ihlalin söz konusu olup olmadığının,
• Yurtdışında bulunan şirketlere veri aktarımı yapılması şartıyla uygulamanın kullanımına izin verilmesinin KVKK m. 4 ‘ de belirtilen ilkeler açısından bir ihlale sebebiyet verip vermediğinin,
• Hizmetin açık rızaya bağlanmasının verilen açık rızayı sakatlayabileceği ve bu durumun da kişisel verilerin işlenmesinde hukuka aykırılık teşkil edebileceğinden bahisle, uygulama tarafından yapılan güncelleme ile verilen hizmetin “açık rıza” şartına bağlanmasının söz konusu olup olamayacağının,
• KVKK m.9 hükümlerine aykırılığın söz konusu olup olmadığının,

incelenmesine karar vermiştir.

–

Sonuç

Her gün elektronik postalar, tweetler, sosyal medya gönderileri aracılığı ile sayısız veri ile karşılaşıyor ve aynı şekilde karşılık veriyoruz. Dijitalleşmenin ve veri akışının her geçen gün hızlandığı günümüzde sosyal ağlar ile hiçbir verimizi paylaşmamız neredeyse imkansız.

Sosyal ağların kullanımı esnasında bir takım bilgilerin işlenmesine ilişkin olarak kullanıcılar tarafından onay verilse dahi burada ki önemli nokta kişilerin mahremiyetinin ve güvenliğinin sağlanması için gerekli önlemlerin alınmasıdır.

Facebook şirket grubunun uzun süredir gizlilik politikası nedeniyle eleştirilerin odağında olduğunu söylemek yanlış olmayacaktır.2016 yılında Amerika başkanlık seçimlerinde, uygulama üzerinden kişisel verilerin uygunsuz bir şekilde paylaşıldığına ilişkin “ Cambridge Analytica Skandalı” , 2018 yılındagüvenlik uzmanları tarafından yapılan, Facebook’ un kullanıcı hesaplarından ve akıllı telefonlar üzerinden aldığı verileri başka bir profil olarak bünyesinde tuttuğuna ilişkin “ gölge profil” açıklamasıve Aralık 2020 tarihinde Apple ‘ın şeffaflık politikası ile uygulamaların kişilerin telefonundan hangi bilgileri topladığına ilişkin açıklamasında Facebook’un topladığı verilerin çokluğu gibi bir çok haber ile Facebook şirket grubu neredeyse her daim gündemde.

WhatsApp’ın yayınladığı gizlilik politikası güncellemesi kişisel verilerin korunması ve rekabet hukuku açısından bir çok noktada kafalarda soru işareti yaratmaktadır. Konuya ilişkin olarakRekabet Kurulu ve Kişisel Verileri Koruma Kurulun hızlı bir şekilde harekete geçmiş ve başlattığı incelemelerde verilerin işlenmesi ve aktarılması noktalarına değinmiştir. Şu anda kurulların yaptığı kamuoyu açıklamaları ile de süreç şeffaf bir şekilde ilerlemektedir.

–

Kaynakça

• https://www.whatsapp.com/legal/updates/privacy-policy
• https://hukukvebilisim.org/whatsapp-gizlilik-ilkeleri-degisikligi-uzerine-degerlendirme/
• https://blog.whatsapp.com/looking-ahead-for-whats-app
• https://www.kvkk.gov.tr/Icerik/6855/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU 
• https://www.rekabet.gov.tr/tr/Guncel/rekabet-kurulu-facebook-ve-whatsapp-hakk-14728ae4f653eb11812700505694b4c6 
• https://www.whatsapp.com/legal/privacy-policy/?lang=en
• https://www.bbc.com/news/technology-50838013 
• https://www.kvkk.gov.tr/Icerik/4183/Kisisel-Verilerin-Korunmasi-Alaninda-Uluslararasi-ve-Ulusal-Duzenlemeler
• https://www.academia.edu/44888555/WhatsApp_Güvenlik_Değişikliği_Ne_Anlama_Geliyor_Verilemiz_Paylaşılacak_Mı
• https://www.cnbc.com/2020/12/15/apple-app-store-privacy-screens-about-facebook-extensive-alarming.html

[zombify_post]