Türkiye Şahsî Bilgileri Muhafaza Kurumu’ndan WhatsApp’a Dev Ceza!

Türkiye Şahsî Bilgileri Muhafaza Kurumu’ndan WhatsApp’a Dev Ceza!
Okunuyor Türkiye Şahsî Bilgileri Muhafaza Kurumu’ndan WhatsApp’a Dev Ceza!

Türkiye’den WhatsApp’a büyük bir ceza geldi. Şahsî Dataları Muhafaza Kurumu, ferdî bilgilerin kanuna karşıt olarak işlenmesini önlemek için gerekli önlemleri almadığı gerekçesiyle, WhatsApp’a 1 milyon 950 bin Türk Lirası idari para cezası kesildiğini duyurdu.

Ferdî Bilgileri Müdafaa Kurumu (KVKK), web sitesinden yaptığı açıklamada şu tabirlere yer verdi:

WhatsApp LLC (WhatsApp/veri sorumlusu) tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların şahsî datalarının işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık istek verilmesini içerecek formda Hizmet Şartlarının ve Saklılık Prensibinin güncellendiği, bu kapsamda açık istek vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.

Ferdî Bilgileri Müdafaa Şurasının 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına data transferi, hizmetin açık istek kaidesine bağlanması ve genel unsurlara uygunluk konuları başta olmak üzere WhatsApp hakkında 6698 sayılı Şahsî Dataların Korunması Kanunu’nun (Kanun) 15’inci hususunun (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve hususa ait WhatsApp’tan alınan savunma yazıları ve bununla irtibatlı olarak WhatsApp Hizmet Şartlarının ve Saklılık Unsuru metinlerinin incelenmesi sonucunda; temel olarak data sorumlusu tarafından kullanıcılara sunulan Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlandığı, Saklılık Unsurunun ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi dataların hangi maksatlarla işleneceğini göstermekle birlikte esasen Hizmet Şartlarının bir kesimi olarak söz edildiği ayrıyeten Hizmet Şartlarına onay verilmeden kontratın yürürlüğe giremeyeceğinin belirtildiği görülmüştür.

Bu kapsamda; Şahsî Dataları Muhafaza Şurası’nın 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;

Data sorumlusu tarafından kelam konusu uygulama kapsamında çeşitli ferdî bilgi sürece faaliyetleri bakımından farklı bilgi sürece koşullarına dayanıldığı ve şahsî bilgi işlemeye yönelik açık istek kaidesinin ise istisna olarak başvurulan bir koşul olduğu belirtilse de Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlaması nedeniyle kontrata onay verilmesi suretiyle ilgili bireylerin açık isteğinin alınması yoluna gidildiği, bu çerçevede kullanıcılardan ferdî bilgilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık istek alındığı, kontrata transfere ait karar koymak suretiyle sürece ve transfer faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili bireye sunulduğu dikkate alındığında, açık isteğin “özgür iradeyle açıklanması” ögesinin zedelendiği,

Data sorumlusu tarafından Hizmet Şartları ve Zımnilik Prensibinde yer alan “aktarım”a ait tabirlerin müzakereye kapalı nitelikte sunularak ilgili bireylerin kontrata bir bütün olarak onay vermeye zorlandığı, bu suretle açık isteğin saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının transfer koşuluna bağlandığı, bu kapsamda ilgili bireylerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak bilgi sorumlusunun bu uygulamasının Kanunun 4’üncü unsurunda yer alan “Hukuka ve dürüstlük kurallarına uygun olma” unsuruna karşıtlık teşkil ettiği,

İşlenen tüm şahsî dataların transferine ait açık istek istenildiği, fakat bu dataların işlendikleri emelle orantılı ve hudutlu bilgiler olmadığı üzere hangi bilginin hangi hedefle aktarılacağının da bahse bahis metinlerde net olarak ortaya konulmadığı, bu konuda bilgi sorumlusunca Kanunun 4’üncü hususunda yer alan “belirli, açık ve yasal maksatlar için işlenme” ve “işlendikleri gayeyle irtibatlı, hudutlu ve ölçülü olma” unsurlarına muhalif hareket edildiği,

WhatsApp tarafından şahsî dataların işlenmesinin mukavelenin bir kesimi haline getirilmek suretiyle ilgili şahıslardan mukaveleye onay vermelerinin istenildiği ve sonrasında “Bir kontratın kurulması yahut ifasıyla direkt doğruya ilgili olması kaydıyla, kontratın taraflarına ilişkin ferdî bilgilerin işlenmesinin gerekli olması” kuralı başta olmak üzere öbür şahsî bilgi sürece kurallarına dayanılarak şahsî bilgilerinin işlendiğinin beyan edildiği lakin görünen süreç mukaveleye onay verme olsa da asıl yapılan sürecin şahsî bilgilerin işlenmesine açık istek alınması niteliğinde olduğu, bu bakımdan kontratın içerisine derç edilerek hizmetin bir şartı olarak dayatılması suretiyle alınan açık isteğin, “özgür iradeyle açıklanması” ögesinin zedelendiği,

Bilgi sorumlusunun Türkiye’de bulunan ilgili şahıslardan elde ettiği şahsî bilgiler üzerinde, bu dataları elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma üzere her türlü sürece faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece şahsî dataların yurt dışına transferi manasına geldiği, münasebetiyle kelam konusu transferin, Kanunun “Kişisel bilgilerin yurt dışına aktarılması” başlıklı 9 uncu hususuna uygun olarak yapılmasının mecburilik arz ettiği lakin data sorumlusu tarafından transfer faaliyetleri için hiçbir halde açık isteğe başvurulmadığının beyan edildiği, bununla birlikte bilgi sorumlusunca Heyetimize bir taahhütname müracaatında da bulunulmadığı dikkate alındığında, data sorumlusu tarafından Kanunun 9 uncu hususuna uygun hareket edilmediği,

Bilgi sorumlusu tarafından, profilleme hedefiyle çerezler aracılığıyla yapılacak şahsî bilgi sürece faaliyetine ait olarak ilgili şahıslardan açık istek alınmadığı, bu kapsamda yürütülen ferdî bilgi sürece faaliyetinin de hukuka uygun olmadığı

anlaşıldığından Kanunun 12 nci unsurunun (1) numaralı fıkrasında yer alan ferdî dataların hukuka muhalif olarak işlenmesini önlemek hedefiyle uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almadığı tespit edilen data sorumlusu hakkında Kanunun 18 inci hususunun (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,

Ayrıyeten data sorumlusunun;

Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Şartları ve Kapalılık Unsuru metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili bireylerin hakikat bilgilendirilmesi için kelam konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,

Kapalılık Unsurunun, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın ögelerini taşımadığı anlaşıldığından, Kanunun 10’uncu hususu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Adap ve Asıllar Hakkında Bildirim kararlarına uygun bir aydınlatma yapılması ve kelam konusu süreçlerin sonucundan Konseye bilgi verilmesi konusunda talimatlandırılmasına karar verilmiştir.

Kamuoyuna hürmetle duyurulur.

  • WhatsApp Masaüstü Nedir; Nasıl Kullanılır?
  • WhatsApp Web Nedir; Nasıl Kullanılır?
  • Signal Nedir; WhatsApp’tan Ne Farkı Var?

Online Müracaat