WhatsApp günümüzde en çok kullanılan haberleşme uygulamalarından biridir. Küreselleşen ve teknolojinin önem kazandığı dünyada bilginin toplanması, işlenmesi ve aktarılması, kişi manevi haklarına ve mahremiyetine ilişkin hakları tehdit etmiş ve kişisel verilerin korunması hususu önem arz etmiştir.  Fakat WhatsApp uygulamasının kullanıcılarına sunduğu yeni gizlilik sözleşmesi, içerdiği hükümler ile dikkat çekmekte ve önemli bir takım güncellemeleri de beraberinde getirmektedir.

WhatsApp uygulaması, önceden uygulamaya giriş bilgileri, grup bilgileri, profil fotoğraflarını, telefon, iletişim ve konum bilgilerini otomatik şekilde sakladığını belirtmişti ancak yeni gelen ve 8 Şubat’ta yürürlüğe girecek olan yeni kurallar ile blog paylaşımlarında Facebook uygulaması ile veri paylaşımının sağlanması ve bu doğrultuda Facebook’a veri aktarımının sağlanması,facebook ile veri paylaşımının içeriğinin de şekillendirilmesi ve kişinin ilgilendiği reklamların görüntülenebilmesi, Facebook üzerinden yapılan alışverişlerde ödeme yapılan hesabın WhatsAppta’da kullanılabilmesi için birtakım kuralları kullanıcılara sundu ve kabul edilmemesi halinde whatsApp uygulamasının kullanılamayacağını belirtti. Bu demektir ki, artık WhatsApp üzerinden verilerimiz kolaylıkla başka uygulamalar ile paylaşılabilecek ve Facebook ile rahat rahat veri alış verişinde bulunabilinecektir.

WhatsApp’ın Toplayabildiği Kullanıcı Bilgileri: Hesap Bilgileri,MesajlarBağlantılarDurum Bilgisiİşlem ve Ödeme VerileriMüşteri Desteği ve Diğer İletişimlerKullanım ve Kayıt BilgileriCihaz ve Bağlantı BilgileriKonum BilgileriÇerezlerBaşkalarının Sizin Hakkınızda Sağladığı Bilgiler (Üçüncü taraftan sağlanır)Kullanıcı Şikayetleri (Üçüncü taraftan sağlanır)WhatsApp’taki İşletmeler (Üçüncü taraftan sağlanır)Üçüncü Taraf Hizmet Sağlayıcıları (Üçüncü taraftan sağlanır)Üçüncü Taraf Hizmetleri (Üçüncü taraftan sağlanır) şeklinde sayılabilmektedir.

8 Şubat 2021’de yürürlüğe girecek olanWhatsApp’taki önemli güncellemeler ise şöyle, whatsapp hizmeti ve verilerinin nasıl işlendiği, işletmelerin WhatsApp sohbetlerini saklamak ve yönetmek için Facebook tarafından barındırılan hizmetleri nasıl kullandığı ve son olarak Facebook şirket ürünleri’nde entegrasyonlar için Facebook ile nasıl çalışıldığı hakkındadır.

İlgili Mevzuat: 2016 yılında yürürlüğe giren6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ve 5237 sayılı Türk Ceza Kanununun 135-140.maddeleri ve T.C. Anayasası ilgili hususta bizlere yol gösterici olmaktadır. Nitekim, 5237 sayılı TCK ‘da “Kimliği belirli yahut belirlenebilir gerçek kişiye ilişkin her türlü veri” Kişisel veri olarak kabul edilmektedir. Ayrıca, 5237 sayılı TCK madde 135’de hukuka aykırı kişisel verileri kaydetmenin hapis cezasını gerektirdiği belirtilmiş olup ilgili madde hükmü şöyledir,

“Madde 135, (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.”

Aynı kanunun 136.madde birinci fıkrasında ise, verilerin hukuka aykırı verilmesi ve ele geçirilmesi hususu düzenlenmiş ve kişisel verileri hukuka aykırı veren, yayan ve ele geçirenler için de iki yıldan dört yıla kadar da hapis cezası öngörülmüştür.

5237 sayılı TCK uyarınca, verileri yok etmeme ve bilişim sistemine girme gibi hukuka aykırı eylemler içinde cezalar öngörülmüştür.

“Madde 138,  f.1 Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.”

“Madde 243, f.1 Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.”

Ayrıca, Avrupa Konseyi’nin 28/01/1981 tarihli, “Kişisel Verilerin Otomatik İşleme Tâbi Tutulma Sürecinde Şahısların Korunması’na ilişkin 108 sayılı sözleşmesi de Avrupa’da kişisel verilerin korunması ile ilgili ilk uluslararası hukuk belgesi olarak nitelendirilmektedir.Bir diğer düzenleme ise şöyledir, “Kabahatler Kanunu 15/3. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlendiği ve Türk Ceza Kanunu’nun uygulamadığı bir halde, söz konusu fiil kabahat olarak değerlendirilerek bir yaptırıma tabi olabilecektir.”2010 yılında başka bir düzenleme ise 5982 sayılı Kanun ile yapılan Anayasa değişikliği ile yapılarak Anayasanın 20. maddesine bir fıkra eklenmiş ve kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvence altına alınmıştır.

Elektronik veri ise, bilişim sistemlerinin temelini teşkil eder ve kişisel bilgilerin belirli bir formata dönüştürülmüş halini oluşturur. Kişi hakkında toplanan her türlü bilgi eğer doğrudan ya da dolaylı olarak belirli bir kişiyi işaret ediyor ise kişisel veri olarak değerlendirilmektedir.

Kişisel Verileri Koruma Kurumu kurul örnek kararından yola çıkılacak olursa, “İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır” şeklindedir ve bu konuda örnek teşkil etmektedir. Kurula göre mobil olarak kullanılan uygulamadan alınan verinin ifşası veriyi muhafaza etmekle yetkili sorumlunun sorumluluğunu gerektirmektedir.

Sakıncalar: Kişisel verilerden birçok ürünün pazarlanması noktasında yararlanılabilmektedir. Özellikle ve önemle belirtmek gerekir ki, kişisel veriler sadece rıza ile işlenebilmektedir. Bazı istisnalar 6698 sayılı KVKKda bulunsa da bu istisnaların dar yorumlanması gerektiğinin altını çizmemiz gerekir. Açık rızada ise, kişisel verileri toplayanlar ve kullanıcılar arasında her iki tarafın da şartlarda anlaşması halinde ve yeteri kadar bilgilendirme yapılarak sözleşme yapılmaktadır. Bu noktada eğer kişisel verilerin işlenmesi için zorlama var ise, şüpheli bir durum söz konusu olmakta ve baskının olup olmadığı kullanıcıların özgür irade ile açık rıza verip vermediğinin sorgulanması gerekmektedir. WhatsApp örneğinden hareketle, uygulamanın 8 Şubat 2021’de yürürlüğe girecek olan güncellemelerini kabul etmeyenlerin WhatsApp kullanamayacağına yönelik uygulaması açık rıza verildiğinde zorlama niteliğine görülebilmektedir. Çıkarımla elde edilebilecek bilginin olması halinde açık rızadan bahsetmek mümkün olmayacaktır. Bir diğer sakınca ise WhatsApp’ta paylaşılacak bilgilerin niteliği ile ilgilidir.

Kişisel verilerden bazıları kanunda özel nitelikli kişisel veri olarak kabul edilmektedir.Irkı, etnik köken, siyasal düşünceler, felsefi inanç, din, mezhep, varsa farklı inançlar, giyim kuşam; dernek, vakıf ve sendikalara üyelikleri; sağlıkla ilgili veriler, cinsel hayatı; varsa aldığınız cezalar ve güvenlik tedbirleri ve biyometrik ve genetik verileriniz özel nitelikte kabul edilmiştir. Bu tür veriler sadece açık irade beyanıyla, kanunda öngörülen durumlarda ve kamu sağlığı hizmetlerin sağlanması amacıyla veri sorumlusunun yeterli ve gerekli önlemleri almasıyla işlenebilir. Nitekim ilgili husus 6698 sayılı KVKK 6.maddede de belirtilmiştir, “Madde 623,  f.1 Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. f.2 Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”

WhatsApp’ta paylaşılacak özel nitelikli verilerde nasıl hareket edileceği belirsizdir ve bu tür verilerin paylaşılması durumunda ayrımcılığa sebep olabileceği aşikardır. 6698 sayılı kanunun kişiler için koruması gerçek ve tüzel kişilere karşıdır. Bu noktada WhatsApp’ın yeni güncellemesine onay verilmeden önce kurumun faaliyet alanı ve kullanıcının onlarla ve toplanan verilerle olan bağı sorgulanmalı, yeterli ve gerekli açıklamanın olduğundan emin olunmalı, ne kadar süre ile saklanıp kullanılacağının öğrenilmesi, izin verdiğiniz verilerin yurt dışına aktarılacağını bilmeniz gerekmektedir.

Önemle belirtmek gerekir ki, kişisel veri toplayan ve işleyen kuruluşların kişisel verilerin muhafaza ve güvenliğini sağlama yükümlülüğü bulunmaktadır. Facebook örneğinden hareket edilirse, bu uygulamanın paylaşımları kimlerin görebileceğine dair seçenek mevcuttur ve paylaşılan kişisel verilerin herkes tarafından görülmesini seçtiğiniz takdirde kişisel verilerin de aleni kabul edilmesine sebebiyet vermektedir.

Gizlilik Sözleşmeleri ve Yurt Dışına Veri Aktarımı:Gerçek ve tüzel kişiler arasındaki ilişkilerin giderek karmaşık hale gelmesi ile gizli bilgi, belge ve veri olarak kullanılan her türlü üçüncü kişilerle paylaşımının engellenmesine yönelik taraflar arasında gizlilik sözleşmesi imzalanmaktadır. Kısacası gizlilik sözleşmesi bazı bilgilerin korunmasını amaçlayan ve hukuki düzlemde de bağlayıcılığa sahip sözleşmelerdir.6698 sayılı KVKK uyarınca kişisel veriler açık rıza olmaksızın aktarılamaz.“Madde 8, f.1, Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz” şeklindedir.WhatsApp güncellenmelerinde yer alan yenilikler ile getirilen düzenlemelerde rıza verildiği takdirde yurt dışına veri aktarımı yapılacağı hususu da dikkate alınmalıdır. Nitekim, 6698 sayılı KVKK 9.maddede yurt dışına veri aktarımı düzenlenmiştir.

“Madde 9 ,(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir, şeklindedir.”

Yukarıda sayılan şartlar sağlanmadan aktarım yapılamayacaktır. İdari para cezaları açısından KVKK’ da yurt dışına aktarımla alakalı bir ceza yer almamakta ancak  KVKK 12. maddesi uyarınca veri sorumlusunun veri güvenliğine ilişkin tedbirleri yerine getirmemesi ihtimalinde 15.000.- TL ‘den 1.000.000’ TL’ye kadar idari para cezasının söz konusu olabileceği aşikardır.

Yurt Dışına Veri Aktarımında İzlenmesi Gereken Yol:İlk olarak, veri aktarımının yapılacağı ülkeyle Türkiye’nin tarafı olduğu herhangi bir uluslararası sözleşmenin mevcut olmaması halinde, verilerin yurtdışına aktarımına ilişkin veri sahibinin açık rızasının olup olmadığına bakılması gerekmektedir.

Açık rıza yoksa verilerin normal yahut özel nitelikli olmasına bağlı olarak KVKK madde 5/2 veya madde 6/3de sayılan şartların oluşup oluşmadığına bakılacaktır. Bu şartlar oluşuyorsa, aktarımın yapılacağı ülkenin Kurul tarafında belirlenen “güvenli ülkeler” kategorisinde olup olmadığının kontrol edilmesi gerekmektedir.

Eğer aktarım yapılan ülke “güvenli ülke” kategorisinde mevcut değilse, veri aktarımına ilişkin yazılı bir taahhüdünün var olup olmadığına bakılması eğer taahhüt var ise Kurul’dan izin alınması gereklidir.  Kurul da  izin verirse, kişisel verinin yurt dışına ve veri sahibinin rızası aranmaksızın aktarılmasına olanak sağlanmış olacaktır.

WhatsApp Yazışmalarının Delil Niteliği: WhatsApp telefondan telefona veri gönderimini olanaklı kılan bir uygulamadır. Ağustos 2015’te alınan bir Yargıtay kararına göre, çalışanların WhatsApp aracılığıyla aralarında işvereni kötüleyen yazışmaları dolayısıyla iş akdinin feshedilmesini hukuka aykırı bulmuştur. Ayrıca Haziran 2017’deki başka bir kararda ise, WhatsApp yazışmalarının delil olarak kullanılması çalışanın özel hayatının gizliliğine aykırı sayılmıştır.WhatsApp verileri ve yazışmaları söz konusu kararlarda çalışanların kişisel verisi olarak değerlendirilmiştir. 2018 yılında verilen bir başka kararda ise, Yargıtay whatsApp yazışmalarındaki üslubu (iş akışını bozduğu ve işin yürütümüne engel olduğu hakkında) ve mesaj içeriğini de dikkate alarak yapılan feshin geçerliliğine karar vermiştir. 6698 sayılı KVKK’da sayılan hususlarda dikkate alınarak söz konusu kararlar incelenmiştir. Ayrıca hukuka uygun şekilde elde edilen WhatsApp yazışmaları boşanma davalarında da kullanılabilecektir.

Kullanıcıların Hakları: Kullanıcılar 6698 sayılı KVKK uyarınca, veri sorumlusuna başvuru hakkına sahiptir ve veri sorumlusuna başvurarak Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmeKişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptirler nitekim ilgili husus 6698 sayılı KVKK’nın 11.maddesinde de sayılmaktadır. Ayrıca veri sorumlusu da kişisel verilerin hukuka aykırı işlenilmesini ve erişilmesini önlemeli ve verilerin muhafazasını sağlamalıdır.

6698 sayılı kanunun 12.maddesinin 2.Fıkrası uyarınca, veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Böylece WhatsApp uygulamasının bu hususta sorumluluğu da doğmaktadır. Kişisel verileri işlenen kişiler başvuru ve şikayet hakkına da sahiptirler. Kullanıcılar bu kanunun uygulanmasıyla ilgili taleplerini veri sorumlusuna iletebilirler, başvuruların reddedilmesi yahut cevabın yetersiz olması ya da süresinde başvuruya cevap verilmemesi durumunda ise, kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula (KVKK) şikâyette bulunabilmektedir. Fakat belirtmek gerekir ki, başvuru hakkı kullanılmadan şikayet hakkı kullanılamayacaktır. Ayrıca kurul, şikayet durumunda veya ihlal iddiasını öğrendiği durumlarda re’sen gerekli incelemeyi yapabilmektedir.MADDE 15 f.1 Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

Kişisel Verilerin Silinmesini Talep Etme: :Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca kişisel verileri işlenen kişilerin bu verilerin silinmesini talep hakkı bulunmaktadır. İlgili husus 12.maddenin birinci fıkrasında açıklanmıştır. “İlgili kişi, Kanunun 11 ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.”

Sonuç olarak,WhatsApp uygulamasının getirdiği yeni güncellemelerin kabulü halinde WhatsApp’ın erişimine açık olan tüm kişisel veriler Facebook uygulamasına da açılmış olacaktır. İlgili veriler şöyledir,hesap bilgileri, mesajlar, bağlantılar, durum bilgisi, işlem ve ödeme verileri, müşteri desteği ve diğer iletişimler, kullanım ve kayıt bilgileri, konum bilgileri, çerezler, başkalarının sizin hakkınızda sağladığı bilgiler, kullanıcı şikayetleri, WhatsApp’taki işlemler, 3. Taraf hizmetleri, 3. Taraf hizmet sağlayıcılarına ulaşan bilgilerimiz gibi. Söz konusu veriler Facebook ile paylaşılacak veWhatsApp ile ortak hareket edilerek veri paylaşımı gerçekleştirilecektir. Bu husus WhatsApp yazışmalarının içeriğinin paylaşılması ve özel nitelikli veriler olduğunda oluşabilecek olumsuzlukları ve sakıncaları da beraberinde getirecektir. Açık rıza verilmeden evvel 6698 sayılı Kanun hükümleri de dikkate alınmalı ve verilerin yurtdışına aktarıma tabi tutularak paylaşılması hususu uyarı niteliği taşımaktadır.

Av. Begüm GÜREL (LL.M.) &Stj. Av. Gül EYÖVGE

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü