KVKK, şahsî bilgilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına imkan tanıyan WhatsApp’ın kuralları ihlal ettiğini belirterek yüklü ölçüde para cezası uygulandığını duyurdu.
Ferdî Dataları Müdafaa Kurumu tarafından yapılan açıklama şu biçimde;
“WhatsApp LLC (WhatsApp/veri sorumlusu) tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların ferdî bilgilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık istek verilmesini içerecek halde Hizmet Şartlarının ve Zımnilik Prensibinin güncellendiği, bu kapsamda açık istek vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.
Şahsî Bilgileri Müdafaa Heyetinin 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına data transferi, hizmetin açık istek kuralına bağlanması ve genel unsurlara uygunluk konuları başta olmak üzere WhatsApp hakkında 6698 sayılı Ferdî Bilgilerin Korunması Kanunu’nun (Kanun) 15’inci hususunun (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve hususa ait WhatsApp’tan alınan savunma yazıları ve bununla irtibatlı olarak WhatsApp Hizmet Şartlarının ve Zımnilik Unsuru metinlerinin incelenmesi sonucunda; temel olarak data sorumlusu tarafından kullanıcılara sunulan Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlandığı, Saklılık Prensibinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi dataların hangi maksatlarla işleneceğini göstermekle birlikte esasen Hizmet Şartlarının bir kesimi olarak tabir edildiği ayrıyeten Hizmet Şartlarına onay verilmeden mukavelenin yürürlüğe giremeyeceğinin belirtildiği görülmüştür.
Bu kapsamda; Ferdî Dataları Muhafaza Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;
- Data sorumlusu tarafından kelam konusu uygulama kapsamında çeşitli şahsî bilgi sürece faaliyetleri bakımından farklı bilgi sürece kurallarına dayanıldığı ve şahsî bilgi işlemeye yönelik açık istek kuralının ise istisna olarak başvurulan bir kaide olduğu belirtilse de Hizmet Şartlarının kullanıcı ile yapılan bir kontrat olarak tanımlaması nedeniyle mukaveleye onay verilmesi suretiyle ilgili bireylerin açık isteğinin alınması yoluna gidildiği, bu çerçevede kullanıcılardan şahsî datalarının işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık istek alındığı, kontrata transfere ait karar koymak suretiyle sürece ve transfer faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili şahsa sunulduğu dikkate alındığında, açık isteğin “özgür iradeyle açıklanması” ögesinin zedelendiği,
- Data sorumlusu tarafından Hizmet Şartları ve Kapalılık Unsurunda yer alan “aktarım”a ait sözlerin müzakereye kapalı nitelikte sunularak ilgili bireylerin mukaveleye bir bütün olarak onay vermeye zorlandığı, bu suretle açık isteğin saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının transfer kuralına bağlandığı, bu kapsamda ilgili bireylerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak data sorumlusunun bu uygulamasının Kanunun 4’üncü hususunda yer alan “Hukuka ve dürüstlük kurallarına uygun olma” prensibine karşıtlık teşkil ettiği,
- İşlenen tüm şahsî dataların transferine ait açık istek istenildiği, fakat bu bilgilerin işlendikleri emelle orantılı ve hudutlu bilgiler olmadığı üzere hangi bilginin hangi gayeyle aktarılacağının da bahse mevzu metinlerde net olarak ortaya konulmadığı, bu konuda data sorumlusunca Kanunun 4’üncü hususunda yer alan “belirli, açık ve legal hedefler için işlenme” ve “işlendikleri emelle ilişkili, hudutlu ve ölçülü olma” unsurlarına alışılmamış hareket edildiği,
- WhatsApp tarafından şahsî dataların işlenmesinin kontratın bir modülü haline getirilmek suretiyle ilgili şahıslardan kontrata onay vermelerinin istenildiği ve sonrasında “Bir mukavelenin kurulması yahut ifasıyla direkt doğruya ilgili olması kaydıyla, mukavelenin taraflarına ilişkin şahsî dataların işlenmesinin gerekli olması” koşulu başta olmak üzere öbür ferdî bilgi sürece koşullarına dayanılarak ferdî datalarının işlendiğinin beyan edildiği lakin görünen süreç kontrata onay verme olsa da asıl yapılan sürecin şahsî dataların işlenmesine açık istek alınması niteliğinde olduğu, bu bakımdan mukavelenin içerisine derç edilerek hizmetin bir şartı olarak dayatılması suretiyle alınan açık isteğin, “özgür iradeyle açıklanması” ögesinin zedelendiği,
- Bilgi sorumlusunun Türkiye’de bulunan ilgili bireylerden elde ettiği ferdî datalar üzerinde, bu bilgileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma üzere her türlü sürece faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece ferdî dataların yurt dışına transferi manasına geldiği, hasebiyle kelam konusu transferin, Kanunun “Kişisel bilgilerin yurt dışına aktarılması” başlıklı 9 uncu hususuna uygun olarak yapılmasının mecburilik arz ettiği lakin bilgi sorumlusu tarafından transfer faaliyetleri için hiçbir biçimde açık isteğe başvurulmadığının beyan edildiği, bununla birlikte data sorumlusunca Heyetimize bir taahhütname müracaatında da bulunulmadığı dikkate alındığında, bilgi sorumlusu tarafından Kanunun 9 uncu hususuna uygun hareket edilmediği,
- Bilgi sorumlusu tarafından, profilleme gayesiyle çerezler aracılığıyla yapılacak ferdî data sürece faaliyetine ait olarak ilgili şahıslardan açık istek alınmadığı, bu kapsamda yürütülen şahsî data sürece faaliyetinin de hukuka uygun olmadığı
anlaşıldığından Kanunun 12 nci hususunun (1) numaralı fıkrasında yer alan şahsî dataların hukuka alışılmamış olarak işlenmesini önlemek gayesiyle uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almadığı tespit edilen bilgi sorumlusu hakkında Kanunun 18 inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,
Ayrıyeten bilgi sorumlusunun;
- Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Şartları ve Saklılık Prensibi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili şahısların hakikat bilgilendirilmesi için kelam konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
- Zımnilik Prensibinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın ögelerini taşımadığı anlaşıldığından, Kanunun 10’uncu hususu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Yordam ve Asıllar Hakkında Bildiri kararlarına uygun bir aydınlatma yapılması
ve kelam konusu süreçlerin sonucundan Şuraya bilgi verilmesi konusunda talimatlandırılmasına karar verilmiştir.
Kamuoyuna hürmetle duyurulur.”