Whatsapp yeni gizlik sözleşmesi ( https://www.whatsapp.com/legal/privacy-policy ) konusunda ısrarcı, ancak en son onayla ilgili uzatma kararı almıştı. Buna göre süre 15 Mayıs 2021’de süre doldu. Bundan sonra neler olacak? Tekrar bir uzatmaya gidecek mi?

Her şeyden önce Whatsapp gizlilik sözleşmesinde neden değişikliğe gitti? Neler istiyor? Bunun anlamı ne? Bu soruları yanıtlamadan sorunu anlamak pek mümkün olmayacak. Whatsapp bizden aşağıda detaylarını açıklayacağımız üzere kişisel verilerimiz toplamak istiyor. Çünkü teknoloji çağında bilgi çok değerli. Özellikle reklam amaçlı kullanım için alınan kişisel veriler çeşitli algoritmalarla tercihlerinizi ve alışkanlıklarınızı belirliyor ve buna göre ihtiyacınız olan ürünleri size pazarlayarak satışların artırılmasını hedefliyor. Burada karşımıza büyük veri ( Big Data ) kavramı çıkıyor.

Büyük veri ise “verinin analiz edilip sınıflandırılmış, anlamlı ve işlenebilir hale dönüştürülmüş hali” olarak tanımlanabilir. Bu veriler, işlenerek kişilerin tercihlerini belirlemekte ve buna göre hedefe uygun reklam geliştirilerek şirketlerin reklam maliyetlerinin düşürülmesinde önem kazanmaktadır. Diğer taraftan yine bu veriler kullanılarak kişilerin tercihlerine uygun ürünler geliştirilerek verimliliğin artırılması hedeflenmektedir. Büyük veri başta perakende, bankacılık ve sigortacılık kişilerin davranışları ile tercihlerinin ön plana çıktığı sektörler ile beraber her alanda kullanılabilmektedir. Devletler de son dönemde büyük veriyi, eğitim, sağlık, belediyecilik gibi birçok alanda kullanmaya başladı. Yapılan araştırmalara göre büyük veriyi tercih eden şirketler;

-Karlılıkta %57 artış,

-Pazar çalışmalarında %47 etkileşim,

-Reklam harcamalarında %37 azalma sağlamışlardır.

Buradan çıkan sonuç, kişisel verilerin bir bütün halinde değerlendirmesi önemli bir dijital varlık olduğudur. Bütün şirketler de bu varlığı elde etmenin yollarını arıyor. Ciddi bir kullanıcı kitlesine sahip Whatsapp, bu pastadan payını almayı hedeflemektedir.

Whatsapp, hesap bilgileri, mesajlar, bağlantılar, durum bilgisi, telefon numarası, cihaz bilgisi, IP adresleri, tarayıcı verisi, işletim sistemi, uygulamalar ve versiyonları, mobil ağlar, dil, zaman dilimi, kullanıcılar gibi kişisel verileri elde etmeyi hedeflemekte ve bu verileri başta Facebook olmak üzere diğer şirketleri ile de paylaşmak istemektedir. Bir kısım görüşe göre ise whatsapp zaten bu verileri aldığı, şu anda bunu resmileştirme çabası içine olduğudur.

Whatsapp’ın yeni gizlilik sözleşmesine onay verilmesi halinde yukarıda belirtilen kişisel verilerimizin Whatsapp ve bağlı şirketleri tarafından işlenmesi yasal hale gelmiş olacaktır. Kişisel veri hukuku açısından baktığımızda, kişisel verilerimizin işlenmesine açıkça rıza verilmiş olacaktır. Hemen belirtelim ki hizmet alımının gizlilik sözleşmesinin onaylanması şartına bağlanmış olması açık rızayı sakatlayacak bir etken olarak değerlendirilmelidir. Diğer taraftan yurtdışına aktarma hususları ise 6698 sayılı kanunda açıkça belirtilen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil edebilecektir.

Nitekim konu Kişisel Verilerin Korunması Kurulu önüne res’en gelmiş ve şu kararı 12.01.2021 tarihinde almıştır:

“Kişisel verilerin, yurtdışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;

• Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
• Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
• Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
• WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı

hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında re’sen inceleme başlatılmasına karar verilmiştir.” (https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU)

Ancak Whatsapp uygulamayı 15.05.2021 tarihine ertelediğinden Kişisel Verilerin Korunması Kurulu yeni bir değerlendirme yapmamıştır.

Bu tartışmalar yaşanırken Hamburg Veri Koruma Komiserliği tarafından whatsap ile kişisel verilerin işlenmesine ilişkin derhal yürürlüğe girmek üzere önemli bir yasaklama kararı alınmıştır. (https://datenschutz-hamburg.de/assets/pdf/2021-05-11-press-release-facebook.pdf). Bu kararda Genel Veri Koruma Tüzüğü (General Data Protection Regulation) acil prosedür hükümleri uygulanmıştır. Komiserlik kararın gerekçesinde özellikle alınacak kişisel verilerin Facebook’a aktarılmasında meşru bir menfaat olmadığı, gizlilik politikasının açık ve net olmadığı belirtilmiştir. Diğer taraftan bu hizmetin verilebilmesi için gizlilik politikasının onaylanmasını ön şart olarak konulması bir başka sorun olarak görülmüştür. Facebook’un bu verileri kullanmasında meşru bir menfaati olmadığından bu onayın özgürce verildiğinden de söz edilemez. Ayrıca gizlilik politikası ile Facebook’a aktarılacak kişisel veriler bakımından geniş yetkiler alınmakta ileride de belirsiz birtakım verilerin alınarak Facebook’a aktarılmasının önü açılmaktadır. Herhangi bir zamanda uygulanabilecek ek işlem yaklaşımı, Genel Veri Koruma Tüzüğü (General Data Protection Regulation) hükümlerine aykırılık teşkil etmektedir.

Bu kararla ilgili olarak Hamburg’un Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri Johannes Caspar açıklamalarında şu ifadelere yer vermiştir: Alınan bu kararın Almanya genelinde kullanım koşullarını onaylayan milyonlarca kullanıcının haklarını ve özgürlüklerini korumayı amaçlamaktadır. Diğer taraftan skandal olarak belirttiği 500 milyon Facebook kullanıcısının verilerinin sızdırılması kitle profillemenin kapsamını ve tehdidin boyutunu ortaya koymaktadır. Eylül 2021’de Almanya’da yapılacak federal seçimler düşünüldüğünde tehlike somut olarak ortaya çıkmakta ve bu seçmenleri etkileyebilecek profillerin yaratılması mümkün gözükmektedir.

Hamburg’un Veri Koruma Otoritesinin almış olduğu bu karar her ne kadar üç aylık süre ile sınırlı olsa da diğer ülkeler açısından örnek teşkil edebilecek nitelikte olup ülkemiz açısından baktığımız Kişisel Verilerin Korunması Kurulu’nun paralel bir karar alması beklenmektedir.