Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2021/891 sayılı ve 3 Eylül 2021 tarihli Kararı ile veri sorumlusu olarak kullanıcılarından kişisel verilerinin işlenmesine ve aktarımına ilişkin açık rıza almaması nedeniyle WhatsApp LLC’ye (“WhatsApp”) 1.950.000 TL (yaklaşık 235.000 ABD Doları) tutarında idari para cezası verilmiştir.

İşbu karar, uygulama hizmet sağlayıcılarına karşı oldukça sert bir duruş sergilemekte ve kişisel verilerin açık rızaya dayalı olarak işlenmesi ve yurtdışına veri aktarımları söz konusu olduğunda şirketlerin uyması gereken çok sayıda önemli ilkeye değinmektedir.

Kurul, WhatsApp’ın, uygulama kullanıcılarından açık rıza alırken, (i) açık rızanın özgür iradeyle verilmesi ilkesine, (ii) dürüstlük kuralı ilkesine ve (iii) kişisel verilerin işlenmesinin amacına uygun, sınırlı ve orantılı olması ilkesine aykırı hareket ettiğini tespit etmiştir.

Kurul ayrıca, WhatsApp sunucularının Türkiye’de bulunmaması nedeniyle Türkiye’deki kullanıcıların kişisel verilerini toplandıktan sonra WhatsApp tarafından gerçekleştirilen tüm veri işleme faaliyetlerinin yurtdışına veri aktarımı olarak kabul edilmesi ve bu nedenle kullanıcıların açık rızasının alınması veya Kurul onayının alınmasının gerektiğini ifade etmiştir. İlaveten, Kurul, WhatsApp kullanıcılarından profilleme amacıyla çerezlerin kullanıldığı durumlarda da kişisel verilerinin işlenmesine ilişkin açık rıza alınmamasını eleştirmiştir.

Kurul, son olarak WhatsApp’ın Hizmet Koşulları ve Gizlilik İlkesi metinlerinin Türk kanunları uyarınca geçerli bir gizlilik bildirimi oluşturmak için yetersiz olduğuna karar vermiş ve ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde uygun hale getirilmesine karar vermiştir.

Özgür iradeyle verilmiş açık rıza 

Kurul, WhatsApp tarafından alınan açık rızanın (i) hizmet sözleşmesinde yer alan bir hüküm yoluyla elde edilmiş olması ve (ii) seçimlik hak sunulmaksızın hem kişisel verilerin işlenmesi hem de verilerin Türkiye dışına aktarılması için rıza olarak kullanılması nedeniyle kullanıcıları tarafından özgür iradeyle verilmiş sayılamayacağına karar vermiştir.

WhatsApp, rızaya ilişkin yasal istisnalar temelinde kişisel verileri işlediğini iddia etse de Kurul, sözleşmeyi kabul etme sürecinin doğası gereği açık rıza almak anlamına geldiği görüşündedir. Böyle bir rıza bir hizmet sözleşmesine dâhil edildiğinden ve bir hizmet koşulu olarak empoze edildiğinden, Kurul, özgür irade unsurunun bulunmadığını ve dolayısıyla geçersiz olduğunu tespit etmiştir.

Dürüstlük kuralı

Kurul’a göre, hizmet sözleşmesinde “veri aktarımı” hükümlerinin müzakereye kapalı nitelikte sunulmuş olması, dolayısıyla kullanıcıların sözleşmeye bir bütün olarak onay vermeye zorlanması, açık rızanın veri aktarımı için geçerli olarak alınmadığı anlamına gelmektedir.

Ayrıca, kullanıcıların çıkarları ve makul beklentileri göz önüne alınmaksızın veri aktarımına rıza gösterilmesinin uygulamanın kullanılması için bir koşul olarak getirilmiş olması Kurul tarafından dürüstlük kuralı ilkesine aykırı olarak değerlendirilmiştir.

İşlemenin amacına uygun, sınırlı ve orantılı olma yükümlülüğü

Kurul, WhatsApp’ın toplanan tüm kişisel verilerin aktarımı için onay istediğini ve bu veri aktarımının orantılı olmadığını ve verilerin işlenme amacı ile sınırlı olmadığını tespit etmiştir. Ayrıca, WhatsApp’ın yasal bildirimlerinin de, hangi verilerin hangi amaçla aktarılacağını açıkça ifade etmediği anlaşılmıştır.

Türkiye dışında yerleşik sunucular aracılığıyla veri işleme faaliyetleri

 Kurul kararında, Türkiye’deki kullanıcılardan kişisel veriler toplandıktan sonra gerçekleştirilen verilerin kaydedilmesi, depolanması, değiştirilmesi ve aktarılması gibi tüm işleme faaliyetlerinin, WhatsApp sunucularının Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı olarak değerlendirilmesi gerektiğine karar vermiştir. Bu nedenle, bu tür veri aktarımlarının 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında uluslararası veri aktarımlarına uygulanan kurallara tabi olması gerektiği ifade edilmiştir.

WhatsApp, bu tür veri aktarımları için geçerli açık rıza almadığı veya verileri korumak için yazılı bir taahhütname başvurusunda bulunmadığı ve yurtdışına veri aktarımı için Kurul’un ön onayına başvurmadığı için Kurul, veri aktarımlarının Kanuna uygun olarak gerçekleştirilmediğine karar vermiştir.

Profilleme amacıyla çerezlerin kullanımı

Kurul, son olarak WhatsApp kullanıcılarından profilleme amacıyla çerezler aracılığıyla kişisel verilerinin işlenmesine ilişkin açık rıza alınmadığını ve bu nedenle bu tür veri işleme faaliyetinin Kanuna uygun olmadığını tespit etmiştir.

Kurul, yaptığı tespitlerin sonucunda Kanun’un 12. maddesi (veri güvenliğinin sağlanması için gerekli her türlü teknik ve idari tedbirlerin alınmaması) uyarınca WhatsApp’a 1.950.000 TL (yaklaşık 235.000 ABD Doları) tutarında idari para cezası vermiştir.

Kurul ayrıca, WhatsApp Hizmet Koşulları ve Gizlilik İlkesi metinlerinin üç ay içinde Kanun’a uygun hale getirilmesine karar vermiştir. Ayrıca, Gizlilik İlkesinin de aydınlatma metni yerine kullanıldığını, ancak Kanun kapsamında geçerli bir aydınlatmanın unsurlarını taşımadığını ve bu nedenle Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılmasına karar vermiştir.