Kişisel Verileri Koruma Kurulu WhatsApp LLC hakkında yürütülen inceleme hakkında kamuoyu duyurusu yayınladı.
WhatsApp, 2021 yılı başında Hizmet Koşullarının ve Gizlilik İlkesinin kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık rıza verecek şekilde güncelledi. Gelen güncelleme sebebiyle açık rıza vermeyen kullanıcıların ise uygulamayı kullanamayacağına ve hesaplarının silineceğine dair Whatsapp tarafından bilgilendirme yapıldı. WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirilmesi ve ilgili kişilere seçme imkanı sunulmaksızın hizmet şartı olarak onay alınması üzerine Kişisel Verileri Koruma Kurulu; yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere, WhatsApp hakkında resen inceleme başlattı.
Kurul; konuya ilişkin WhatsApp’tan savunma yazısı aldı ve WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerini inceledi. Bu kapsamda; Kişisel Verileri Koruma Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;
Whatsapp, Hizmet Koşullarını kullanıcı ile yapılan bir sözleşme olarak nitelendirerek kullanıcıların açık rızalarını almakta. Kurul kararında, açık rıza alınmasının istisna bir şart olduğunu vurguladı. Kararda; kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışına aktarılmasına seçim hakkı sunulmadan açık rıza talep edildiği bu durumun kişilerin özgür iradeyle açıklamalarını engellediği değerlendirildi.
Hizmet Koşulları ve Gizlilik İlkesinde kullanıcılara verilerinin nereye aktarılacağına dair seçenek tanımayarak kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı bu durumun hukuka ve dürüstlük kurallarına uygun olmadığı tespit edildi.
Whatsapp; metinlerinde topladığı kişisel verileri hangi amaçla aktaracağını da net olarak açıklamadığı için faaliyet Kurul tarafından belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı bulundu.
WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirildi ve ilgili kişilerden sözleşmeye hükümlerinde düzenlenen veri işleme ve aktarım şartlarına seçim sunulmaksızın hizmet şartı olarak onay alındı. Ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu kararda ifade edildi.
WhatsApp yazılı savunmasında; kişisel verilerin yurt dışına aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığını beyan etti. Kurul bununla birlikte Whatsapp’ın taahhütname başvurusunda da bulunulmadığı dikkate alındı ve uygulamayı Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesine uygun bulunmadı.
Kurul; Whatsapp’ın çerezleri kullanarak profilleme yapmasına dair kişilerden açık rıza almamasını sebebiyle bu kapsamda yürütülen kişisel veri işleme faaliyetin de hukuka aykırı buldu.
Kişisel Verileri Koruma Kurulu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeyen Whatsapp LLC hakkında 1.950.000 TL idari para cezası uygulanmasına karar verdi.
Bunun yanı sıra Whatsapp; Hizmet Koşulları ve Gizlilik İlkesi metinlerini üç ay içerisinde Kanuna uygun hale getirmekle ve kanuna uygun bir aydınlatma metni hazırlamakla yükümlü kılındı.
