Kişisel Verileri Koruma Kurumu, WhatsApp’ın kişisel verilerin işlenmesi ile ilgili kurallara uymadığını gerekçe göstererek şirkete 1.950.000 TL para cezası kesti.
KVKK, kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına olanak tanıyan WhatsApp’ın kuralları ihlal ettiğini belirterek yüklü miktarda para cezası uygulandığını duyurdu.
Kişisel Verileri Koruma Kurumu tarafından yapılan açıklama şu şekilde;
“WhatsApp LLC (WhatsApp/veri sorumlusu) tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık rıza verilmesini içerecek şekilde Hizmet Koşullarının ve Gizlilik İlkesinin güncellendiği, bu kapsamda açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.
Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere WhatsApp hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve konuya ilişkin WhatsApp’tan alınan savunma yazıları ve bununla bağlantılı olarak WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerinin incelenmesi neticesinde; temel olarak veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığı, Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe giremeyeceğinin belirtildiği görülmüştür.
Bu kapsamda; Kişisel Verileri Koruma Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;
- Veri sorumlusu tarafından söz konusu uygulama kapsamında çeşitli kişisel veri işleme faaliyetleri bakımından farklı veri işleme şartlarına dayanıldığı ve kişisel veri işlemeye yönelik açık rıza şartının ise istisna olarak başvurulan bir şart olduğu belirtilse de Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlaması nedeniyle sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidildiği, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelendiği,
- Veri sorumlusu tarafından Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu kapsamda ilgili kişilerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak veri sorumlusunun bu uygulamasının Kanunun 4’üncü maddesinde yer alan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
- İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı, bu hususta veri sorumlusunca Kanunun 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
- WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirilmek suretiyle ilgili kişilerden sözleşmeye onay vermelerinin istenildiği ve sonrasında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı başta olmak üzere diğer kişisel veri işleme şartlarına dayanılarak kişisel verilerinin işlendiğinin beyan edildiği ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle alınan açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiği,
- Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği, bununla birlikte veri sorumlusunca Kurulumuza bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9 uncu maddesine uygun hareket edilmediği,
- Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı
anlaşıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,
Ayrıca veri sorumlusunun;
- Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
- Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması
ve söz konusu işlemlerin sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.
Kamuoyuna saygıyla duyurulur.”
