Bildiğiniz gibi, WhatsApp kullanıcıları 7 Ocak 2021'de, "ya uyarsın ya da kullanamazsın" şeklindeki bir emrivaki ile kişisel verilerinin Facebook'a aktarılması olayı ile karşılaştılar[1].
Bu bazı WhatsApp kullanıcıları için "nasılsa reklam için alıyorlar" şeklinde "olağanmış" gibi karşılandıysa da, Facebook'un son 5-6 yılda ortaya çıkan -Gölge Profilleme, Cambridge Analytica, veri sızmaları vs. gibi- çeşitli olayları düşündüğümüzde, büyük bir soru işareti yarattı. Bir yandan da kullanıcılar, "açık rıza"ları alınmadan, doğrudan "böyle olacak" şeklinde metazori bir hareketle karşılaşmış oldu.
Olayın 2 hukuki boyutu var: 'Kişisel verilerin korunması' ve 'rekabet ihlali'
Rekabet Kurumu olaydan 4 gün sonra soruşturma açtığında çoğu kişi şaşırdı. Hepimizin beklentisi 2017'den beri görevde olan Kişisel Verileri Koruma Kurulu'nun (KVKK) derhal harekete geçmesiydi. Sonuçta, kişisel verilerin bir firma tarafından mecburi aktarılması söz konusuydu.
Hepimiz "KVKK'nın soruşturma açmasına" ve "neden açmadığına" odaklandık. KVKK Rekabet Kurumu'ndan 1 gün sonra, soruşturma değil inceleme açtı[2]. Dolayısıyla bu konuda Facebook'un hukuki temsilcisi üzerinden bazı spekülasyonlar bile yapıldı, soruşturma yerine inceleme açtığı için spekülasyonlar sürüyor da[3].
Bu nedenle Rekabet Kurumu öne geçtiğinde, çoğu kişi gerekçesini önce anlayamadı. Oysa gayet mantıklı bir gerekçesi var. Üstelik aynı gerekçe nedeniyle ABD ve Avrupa'da Facebook, Instagram ve WhatsApp bütünlüğü ile ilgili soruşturmalar yürütülüyor.
Çünkü 2 (hatta 3) kullanıcı sayısı çok yüksek ve tekel platformun, tek platform şeklinde daha büyük bir tekel haline gelmesi doğru yaklaşım değil. ABD'de bazı senatörler, Facebook'un geçmiş yıllarda satın aldığı WhatsApp ve Instagram'ı artık satması gerektiğini bile söylüyorlar. Tekel olduklarında nasıl davranacaklarının bazı örneklerini bugünlerde görüyoruz. Facebook'un Avustralya hükümetine kafa tutması ya da Cambridge Analytica olayı ile oyların kafa kafaya olduğu 17 eyalette Amerikalı seçmenin oylarını yönlendirmesiyle görmek bile yeterli örnekler.
Ama başta da dediğimiz gibi, WhatsApp'ın kişisel verileri Facebook'a aktarması olayına karşı asıl hesap sorması gereken kurum; 2016 yılında yürürlüğe girmiş 6698 sayılı Kişisel Verileri Koruma Kurulu kanunu ile kurulan Kişisel Verilerin Korunma Kurulu (KVKK). Hatırlatalım; WhatsApp bu aktarmayı, Avrupa'daki kullanıcılara uygulayamıyor. Çünkü Avrupa'da çok güçlü bir Kişisel Veriler Kanunu (GDPR) ve düzenleyici kurum var.
Avrupa'ya uygulayamazken, Türkiye'ye uyguluyor, aradaki fark nedir?
Bunu ve başka sualleri, Kişisel Verileri Koruma Kuruluna (KVKK) yakın bir kaynakla konuştuk. Suallerimiz şöyleydi;
- WhatsApp GDPR nedeniyle Avrupalı kullanıcılarına bu güncellemeyi (Facebook ile veri paylaşımı konusu) uygulamıyor. Hindistan ve Türkiye için uyguluyor. 6698 sayılı Kişisel Verileri Koruma kanununda, GDPR'a nazaran eksik mi var? Bu eksik nedir ki, bizde böylesine "ya uyarsın ya kullanamazsın" diye uygulayabiliyor?
- Ocak ayında KVKK konuyla ilgili olarak bir inceleme açtı. Soruşturma yerine inceleme açmış olmanızın nedeni acaba nedir?
- KVKK'nın olayı inceleme süreci ne durumda?
- Bu inceleme bir soruşturmaya dönecek mi?
- Bu süreç sonucunda, Avrupalı kullanıcılar gibi, kişisel verilerimizi paylaşım yapmak zorunda kalmayacağımız bir sonuç görebilecek miyiz?
- Facebook'un kişisel verileri kullanım şekli konusunda, (son Apple güncellemesine de bakınca) bilgisayar ve telefonlarımızdan bizim verdiğimizden fazla veriyi çektiği (mesela bankacılık) görülüyor. Acaba bu konuda bir soruşturma yapmayı düşünüyor musunuz? Yani Facebook Türkiye'de hangi kişisel verileri izinli, hangilerini izinsiz kullanıyor şeklinde bir soruşturma olacak mı?
Kişisel Verileri Koruma Kuruluna yakın kaynağımız, (kurumu bağlayıcı olmadan, kendi bildikleri ile) şu bilgileri verdi:
Ocak ayında KVKK, WhatsApp ile ilgili bir inceleme başlattı; soruşturma yerine inceleme başlatılmış olmasının nedeni nedir?
"Bahsettiğiniz uygulamanın bağlı olduğu şirket tarafından, uygulamayı kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir.
Söz konusu bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin söz konusu şirket tarafından yurt dışında yerleşik bulunan hizmet aldığı ve hizmet verdiği grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket ve bunun gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmüştür.
Buna ilişkin olarak olarak; kişisel verilerin, yurt dışında yerleşik bir veri sorumlusu olan ilgili şirket tarafından işlenmesine ve yurt dışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda; sunulan hizmetin açık rızaya bağlanıp bağlanmadığı, alınan açık rızanın Kanuna uygun olup olmadığı ve bahse konu şirket tarafından yurt dışında yerleşik veri sorumlularına yapılacak aktarımın Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile bu şirket hakkında resen inceleme başlatılmasına karar verilmiştir.
Kanunun ilgili maddesinde Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı düzenlenmiş olup, Kurul, veri sorumluları hakkında görev alanına giren konularda inceleme yaparak karar vermektedir. Aslında bu inceleme de soruşturma gibi değerlendirilmektedir. Çünkü inceleme sonucunda birtakım yaptırımlar uygulanmaktadır.
Kurul daha önce Facebook hakkında yaptığı incelemede iki kez idari para cezası yaptırımı uygulamıştır.
Bu çerçevede veri sorumlusu konumundaki söz konusu şirket hakkındaki inceleme süreci devam etmektedir."
Yaptırım, verilerin aktarılmasını önleyecek mi?
Sorularımız içinde, kişisel verilerin aktarılmasını engellemenin olup olmayacağı da var. Sürecin henüz devam etmesi nedeniyle, yaptırımın ne olacağı ya da Avrupalı kullanıcılar gibi, kişisel verilerimizi paylaşım yapmak zorunda kalmayacağımız bir sonuç görebilecek miyiz henüz bunun cevabını alamadık.
Facebook hangi verilere bakıyor?
Ayrıca farklı bir konuyu da sorduk; Facebook'un kişisel verileri kullanım şekline bakıldığında (son Apple iOS güncellemesi gösteriyor) bilgisayar ve telefonlarımızdan bizim verdiğimizden fazla veriyi çektiği (mesela bakmaması gerekirken, telefonumuzdaki bankacılık uygulamasına bakıyor) görülüyor. Kişisel Verileri Koruma Kurulu'nun bu konuya dair bir araştırma yapıp yapmayacağını yani Facebook Türkiye'de hangi kişisel verileri izinli, hangilerini izinsiz kullanıyor şeklinde bir soruşturma olup, olmayacağını da sorduk. Ama cevap alamadık.
Bu iki konuyu takip etmeye devam ediyoruz...
Son durum
Şimdi bir de son durumu yazalım. Rekabet Kurumu soruşturması ve KVKK incelemesi başlatılınca, WhatsApp ilk anda 8 Şubat olarak duyurduğu son tarihi 15 Mayıs'a aktarmıştı. Rekabet Kurumu 15 Şubat'ta soruşturmasının sonucunu açıkladı [4]:
"Düzenlenen rapora ve incelenen dosya kapsamına göre, 4054 sayılı Kanun'un 9. maddesinin dördüncü fıkrası uyarınca; Facebook'un Türkiye'de, WhatsApp kullanıcılarının verilerinin 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları durdurması ve bu koşulları kabul eden veya bilgilendirmeyi alarak kabul etmeyen tüm kullanıcılara Facebook'un veri paylaşımını içeren yeni koşulları durdurduğunu anılan tarihe kadar bildirmesi şeklinde geçici tedbir alınmasına, gerekçeli kararın tebliğinden itibaren 60 gün içinde Ankara İdare Mahkemelerinde yargı yolu açık olmak üzere, OYBİRLİĞİ ile karar verilmiştir."
KVKK ise aradan geçen 5 ayın sonucunda henüz incelemenin sonuçlarını açıklamış değil.
WhatsApp, Rekabet Kurumunun 15 Şubat tarihli kararından sonra, "veri aktarımını 15 mayısta yine de yapacağını" açıkladı[5]. Buna karşılık 7 Mayıs'ta aktarmayı "şimdilik" yapmayacağını ama kullanıcılara sürekli hatırlatma geçeceğini ve zamanla bazı özellikleri kısacağını söyledi[6].
21 Mayıs'ta ise Rekabet Kurumu açıklamasını gördük [7]:
"Rekabet Kurumu tarafından alınan tedbir kararı ve yapılan incelemeler sonrasında WhatsApp tarafından veri paylaşımını içeren söz konusu güncellemenin, onaylayan kullanıcılar dâhil olmak üzere, Türkiye'deki hiçbir kullanıcı açısından yürürlüğe girmeyeceği tarafımıza bildirilmiştir."
Reuters ise bunu WhatsApp'dan aldığı bilgiye göre şöyle verdi[7]; Rekabet Kurumu - WhatsApp arasındaki tartışmalar henüz sürüyor.
"Mesajlaşma uygulaması WhatsApp Cuma günü yaptığı açıklamada, Türkiye Rekabet Kurulu'nun güncellemenin yayınlanmayacağı yönündeki açıklamasına rağmen, Türkiye'de bir güncellemenin kullanıma sunulmasını hala tartışmakta olduğunu söyledi."
Anladığımız şu; Rekabet Kurumu geri adım atmıyor ama WhatsApp kuralları esneteceğine güveniyor. Bu arada KVKK'nın bu olay içindeki yerini de yukarıda verdik. DKVKK'nın görevini yapmasını ve bu olayda söylentilere yer vermeyecek ve kişisel verilerimizi koruyacak şekilde davranmasını bekliyoruz. Dediğimiz gibi internet camiası olarak olayı takip ediyoruz.
