| Okuma Süresi: 3 Dakika

WHATSAPP UYGULAMASI GİZLİLİK İLKELERİNDE DEĞİŞİKLİKLER

AV. ADEM AKKIR STJ. AV. YASİN ERZURUM

“WhatsApp” uygulaması “gizlilik ilkelerinde” değişikliğe gidilmesi kamuoyunda birçok şüpheyi beraberinde getirmiş ve birçok tartışmaya neden olmuştur. Facebook Inc. şirketler topluluğuna bağlı WhatsApp LLC’nin 4 Ocak 2021 tarihinde açıkladığı ve 8 Şubat 2021 tarihi itibariyle yürürlüğe girecek olan yeni “gizlilik ilkelerinin” başta rekabet hukuku ve kişisel verilerin korunması bağlamında değerlendirilmesi gerekmektedir.
Gizlilik ilkelerinin, Avrupa Birliği dışındaki ülkelerde geçerli olacağı ve söz konusu ilkelerin kullanıcılar tarafından yukarıda belirtilen tarihe kadar kabul edilmemesi halinde artık uygulamanın kullanılamayacağı açıklanmıştır. Öncelikle belirtmek gerekir ki, söz konusu değişiklik WhatsApp şirketine kullanıcı mesajlarını görme ve aynı zamanda üçüncü bir kişiye aktarma imkanı vermemekte, zira söz konusu uygulama “kriptografi” (şifreleme) sistemi kullanmaktadır. Kullanıcılar arasındaki mesajlar uçtan uca şifreleme ile korunmakta olup herhangi bir üçüncü kişinin bu verilere erişmesi veya söz konusu verileri işlemesi mümkün değildir. Ne var ki gizlilik ilkelerine getirilen değişiklikler ile beraber WhatsApp uygulamasında kullanılan cep telefonu numarası, profil ismi, izin verilmesi halinde durum bilgisi, WhatsApp LLC ile alışveriş yapılması halinde bu kapsamda işlem ve ödeme verileri, konum bilgileri, cihaza ilişkin veriler gibi veriler Facebook grup şirketleriyle de paylaşılabilecektir. Paylaşılan veriler kullanıcının diğer platformlardaki hesaplarından elde edilen verilerle (Facebook, Instagram gibi diğer Facebook Inc. şirketleri) birleştirilebilecek, dolayısıyla kullanıcılar daha yoğun bir profilleme işlemine maruz kalabileceklerdir.
Bu bağlamda göz önünde bulundurulması gereken durum Facebook grup şirketlerinin yukarıda bahsedilen ve birçok farklı kaynaktan elde edilen kişisel verilerle son derece eşsiz bir veri tabanına sahip olduğu veya olabileceği gerçeğidir. Zira dünyada “Big Four” olarak da bilinen dört Big Tech şirketinden biri olan Facebook, söz konusu veri tabanı sayesinde profilleme konusunda eşsiz bir güce ve imkana sahip olmakta, bu durum mahremiyet ve kişisel verilerin işlenmesi açısından birçok soruyu beraberinde getirmektedir.
Almanya Federal Kartel Ofisi (“Bundeskartellamt” veya “Alman Rekabet Kurumu”) 06.02.2019 tarihli bir kararında, Facebook uygulamasının, diğer Facebook şirketlerinden, Facebook profillerinin entegre olduğu üçüncü taraf web sitelerinden veya “Facebook Analytics” hizmeti alan web sitelerinden gelen verileri toplamasının, kullanmasının ve birleştirmesinin hakim durumun kötüye kullanılması teşkil ettiğine karar vermiş ve ilgili karar Federal Adalet Mahkemesi (“Bundesgerichtshof” veya “BGH”) tarafından da onaylanmıştır. İlgili kararda Facebook’un hizmet gösterdiği piyasadaki pazar payı, günlük ve aylık olarak aktif kullanıcı sayıları göz önüne alındığında hakim teşebbüs niteliğini haiz olduğu, kullanıcıların piyasada farklı seçeneklere yönelmesinin zor bir ihtimal olduğu ve kullanıcılar üzerinde birçok maliyeti beraberinde getirdiği (switching costs), dolayısıyla Facebook’un söz konusu veri işleme faaliyetlerini kullanıcıların sözde “açık rızasına” dayandırsa dahi sayılan şartlar altında kullanıcıların “gönüllü” bir şekilde Facebook tarafından kendilerine sunulan hizmet şartlarını kabul etmeyeceği ve buna zorlanmış olacağı belirtilmiştir.
Yukarıda yer verdiğimiz karar ışığında; 40 Milyonu aşkın kullanıcısıyla Türkiye’de en fazla kullanıcı sayısına sahip uygulama olan WhatsApp LLC’nin hakim teşebbüs konumunda olduğu ve kullanıcılarına sunduğu gizlilik ilkelerinin kullanıcılar tarafından onaylansa dahi serbest bir iradeye dayanmayacağı ifade edilebilecektir. Dolayısıyla söz konusu değişiklikler 4054 Sayılı Rekabetin Korunması Hakkında Kanun Madde 6 bağlamında değerlendirilebilecek ve WhatsApp LLC’nin hakim durumunu kötüye kullandığı belirtilebilecektir. Nitekim Rekabet Kurumu, bünyesinde yer alan Rekabet Kurulunun 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında Facebook Inc., Facebook Ireland Ltd., WhatsApp Inc. ve WhatsApp LLC  hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edip edilmediğinin tespiti amacıyla resen soruşturma başlatmıştır. Rekabet Kurulu söz konusu soruşturma duyurusunda Almanya Federal Kartel Ofisi tarafından verilen kararda da tespit edildiği üzere “Bu haliyle güncelleme, daha fazla verinin Facebook tarafından toplanmasını, işlenmesini ve kullanılmasını içerme”si sebebini gerekçe olarak göstermiş ve ayrıca “4054 sayılı Kanun’un 9. maddesi çerçevesinde geçici tedbir alınması ve bu kapsamda Facebook’un Türkiye’de, WhatsApp kullanıcılarının verilerinin 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları durdurması ve bu koşulları kabul eden veya bilgilendirmeyi alarak kabul etmeyen tüm kullanıcılara Facebook’un veri paylaşımını içeren yeni koşulları durdurduğunu anılan tarihe kadar bildirmesi gerektiğine” karar vermiştir.

Şirketin gizlilik ilkelerinde yapılacağı belirtilen değişikliklerin aynı zamanda bir diğer düzenleme olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında değerlendirilmesi gerekmektedir.  Bilindiği üzere Kanun’un 8. Maddesi kişisel verilerin ilgili kişinin açık rızası olmaksızın aktırılamayacağını düzenlemiştir. İstisnai haller ise 5. maddenin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla, 6. maddenin üçüncü fıkrasında yer alan hallerde mümkündür. İlgili kişinin kişisel verisinin yurt dışına aktarımı ise Kanun’un 9/2 maddesinde yer alan istisnai haller hariç olmak üzere ancak ilgili kişinin açık rızasının alınması ile mümkündür. WhatsApp LLC’nin yukarıda bahsi geçen veriler açısından gizlilik ilkelerinin kullanıcılar tarafından onaylanması ile aldığı açık rıza; Rekabet Kanunu çerçevesinde ve Borçlar Kanunu ile Tüketicinin Korunması Kanununda yer alan ilgili düzenlemeler uyarınca özgür iradeyle açıklanan rıza niteliğini taşımayacağından, veri sorumlusu WhatsApp LLC tarafından söz konusu verilerin işlenmesinin mevzuata uygun olmadığı ve açık rıza olmaksızın kişisel verilerin yurt dışına aktarıldığı sonucuna ulaşılabilecektir. Bu anlamda gizlilik ilkeleri ile kullanıcılara sunulan değişiklikler kullanıcılar tarafından onaylansa dahi özgür bir iradeye dayalı açık rıza var olmadığından KVKK kapsamında ihlal söz konusu olacaktır.
Sonuç olarak, kanaatimizce Şirket tarafından kullanıcılara sunulan “gizlilik ilkeleri” Rekabetin Korunması Hakkında Kanun ve Kişisel Verilerin Korunması Kanunu ile uyumlu olmayıp aynı zamanda 6098 Sayılı Türk Borçlar Kanunu’nun 20.-25. Maddelerinde düzenlenen Genel İşlem Koşullarına ve 6502 Sayılı Tüketicinin Korunması Hakkında Kanun’un 5. Maddesinde düzenlenen haksız şart denetimine ilişkin hükümlerine de aykırılık teşkil etmektedir.