*Av. Doğancan Tölek

Bilindiği üzere WhatsApp tüm Dünya üzerinde oldukça sık kullanılan bir anlık ileti uygulaması olup yediden yetmişe birçok yaş aralığında kullanıcıya sahiptir. İnternet kullanıcılarının davranışlarını ölçen Gemius tarafından açıklanan verilere göre 3 Ocak 2021’de WhatsApp’ın Türkiye’deki gerçek kullanıcı sayısı 42.3 milyon olarak belirtilmiştir. Ülke nüfusumuz ile bu veriler karşılaştırıldığında bu uygulamanın ülkemizde de oldukça fazla kullanıldığı net bir şekilde anlaşılmaktadır. 

WhatsApp Inc. tarafından 04/01/2021 tarihinde kullanıcılara WhatsApp kullanım koşullarının ve gizlilik ilkesinin güncelleneceğine ilişkin bir bilgilendirme yapılmıştır. Bu bilgilendirme özetle; “WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda 08/02/2021 tarihine kadar rıza vermeyen kullanıcıların uygulamayı kullanamayacağı ve hesaplarının silineceği” hususları aktarılmıştır.

WhatsApp Inc. tarafından iletilen Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurtdışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmektedir.

7 Nisan 2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında; Kişisel verilerin işlenebilmesi için ise, Kanunun 5 inci ve 6 ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması gerekmektedir. Kanunun 5 inci maddesinin (2) numaralı fıkrasına göre; “kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,” işleme şartlarından herhangi birinin varlığı halinde kişisel veriler işlenebilecektir. Bu şartların bulunmadığı durumlarda ise kişisel veriler ancak ilgili kişinin açık rızası alınmak suretiyle işlenebilecektir.

Kanunun 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup, buna göre açık rızanın üç unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.

Söz konusu unsurlar açısından değerlendirildiğinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri sorumlusuna, gerçekleştireceği kişisel veri işleme faaliyeti konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayabilmektedir. Bu anlamda açık rıza, rıza veren kişinin olumlu irade beyanını içermelidir.

Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Önemle ifade etmek gerekir ki; Kişisel Verileri Koruma Kurulu tarafından yayınlanan 16.02.2018 tarihli ve 2018/19 sayılı Kararda da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir. Bu çerçevede Whatsapp tarafından kullanıcılara iletilen gizlilik politikası kapsamında kullanıcıların belirtilen süreye kadar izin/onay vermemesi halinde hesabının silineceği ve uygulamayı kullanamayacağının belirtilmesi ile Kurulun yayınladığı karar uygunluk arz etmemektedir.

Kanunun 4 üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun,  belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.

Diğer taraftan, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde;  kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.

Kurul tarafından 12.01.2021 tarihli ve 2021/28 sayılı karar ile Veri Sorumlusu hakkında resen inceleme başlatılmasına karar verilmiştir. Henüz Kurul tarafından bu konuya ilişkin net bir değerlendirme kamuoyuna sunulmuş olmamakla birlikte WhatsApp 15 Ocak 2021’de resmi soruşturmalar ve kullanıcıların tepkilerinin ardından kullanıcılara yeni sözleşmedeki değişimleri daha iyi anlatabilme gerekçesiyle 8 Şubat tarihini 15 Mayıs 2021 olarak güncellemiştir. WhatsApp, kullanıcı ve yasal otoriterlerdein tepkileri karşısında açıklama yapma gereği duymuş olup gizlilik ilkesi ve hizmet şartlarındaki güncellemenin yürürlüğe girdiği 15 Mayıs’ta, “kişisel mesajlarınızı göremiyoruz” ve “hesabınızı silmeyeceğiz” paylaşımında bulunmuştur. Ancak bu açıklamalar kullanıcıların tam anlamıyla güvende hissetmesini sağlayamamıştır. 

Gizlilik Politikası ile ilgili gündem kullanıcıları rahatsız etmiş olup bu durum uygulamayı Türkiye’de kullanmakta olan sayılara şu şekilde yansımıştır; 3 Ocak 2021’de WhatsApp’ın Türkiye’deki gerçek kullanıcı sayısı 42.3 milyon iken WhatsApp’ın Türkiye’deki gerçek kullanıcı sayısı 13 Ocak 2021 tarihi itibariyle 40.3 milyona gerilemiştir.

*Yavuz&Uyanık&Akalın Hukuk Bürosu, Avukat