Skip to main content

Geçtiğimiz günlerde WhatsApp’ı açınca “WhatsApp koşullarını ve gizlilik ilkesini güncelliyor” başlıklı bir bildirimle karşılaşmıştık. Bunun üzerine meseleyi farklı boyutları ile ele alan bir makale yayımlamıştım (WhatsApp Koşullarını Ve Gizlilik İlkesini Güncelliyor).

Şimdi de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 13 üncü maddesi uyarınca yaptığım WhatsApp Başvurusu ile ilgili alt başlıkları ve özet bilgileri, ayrıca veri sorumlusuna başvuru yaparken kullandığım dilekçeyi paylaşmak istiyorum.

Not: Dilekçeyi hazırlarken Gizlilik İlkeleri’ndeki detaylara girmedim, yalnızca temel eksiklik ve hatalara yüzeysel şekilde değindim. Hem sorularıma cevap verilmesini, hem de taleplerimin karşılanmasını istedim.

Not – 2: Bugüne kadar farklı gerekçelerle KVK Kuruluna herhangi bir şikâyet başvurusunda bulunmamıştım fakat WhatsApp bu noktada benim için bir ilk olacak muhtemelen. Mevzuattaki idari yaptırımların (özellilkle büyük şirketler için) caydırıcılıktan çok uzak olmasını fırsat bilerek, onlarca milyon kullanıcısının bulunduğu ülkemizin düzenlemelerini dikkate almıyor olmaları büyük saygısızlık.

Not – 3: Temmuz 2019’da  hazırlanan 11. Kalkınma Plânı‘nın 479.1. maddesinde şöyle bir hedef var: “6698 sayılı Kişisel Verilerin Korunması Kanunu AB’nin Genel Veri Koruma Tüzüğü dikkate alınarak güncellenecektir.” Bir buçuk yılı aşkın süre geçmiş olmasına rağmen bu konuda henüz bir hareketlilik olmadı. Katıldığım toplantı ve organizasyonlarda dile getiriyorum, lütfen ülke olarak en kısa sürede gündemimize almaya gayret edelim, hepimizin iyiliği için (yalnızca dijital mahremiyet ve güvenlik hususunda değil, ekonomi başta olmak üzere pek çok açıdan) önemli bir konu.

Avrupa Birliği ve Türkiye Ayrımı

Avrupa Birliğine üye ülkeler ve yapılan müzakereler sonucunda yeterli koruma sağladığı tespit edilerek Birlik tarafından güvenli ülkeler listesine ilave edilen ülkelerle Türkiye arasında bir ayrım yapılması siyasi veya diplomatik bir hareket değil, yürürlükteki mevzuata aykırılık teşkil etmiyor.

Fakat burada şöyle bir sıkıntı mevcut: 6698 sayılı Kanun, AB düzenlemelerini esas alıyor. Kişisel veri işleme ve aktarmaya ilişkin temel kurallar çok benzer. Dolayısı ile geçerli veri işleme şartları bakımından, WhatsApp’ın AB kullanıcıları ile TR kullanıcıları arasında hangi gerekçeye istinaden böyle bir ayrım yapılıyor?

Açık Rıza

KVK Kanunu m. 3/1-a’da açık rıza, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanıyor.

WhatsApp’ın Gizlilik İlkeleri’nde yer alan, “Bu tarihten sonra, WhatsApp’ı kullanmaya devam etmek için bu güncellemeleri kabul etmeniz gerekecektir.” bildiriminde, açık rızanın “özgür iradeyle açıklanma” unsuruna riayet edilmiyor.

Hizmet sunumunun açık rıza şartına bağlanmış olması durumunun mevzuata aykırılık teşkil etmesi, KVK Kurulunun muhtelif kararlarında (Kaynak) da yer alıyor.

Aydınlatma Yükümlülüğü

WhatsApp Gizlilik İlkeleri’nde, KVK Kanunu m. 10’da öngörülen konuların tamamı hakkında aydınlatma yapılmıyor:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • KVK Kanunu m 11’de sayılan diğer hakları,

Özellikle WhatsApp’ın yurtdışında yerleşik veri sorumlusu olması bakımından veri sorumlusu temsilcisi atamaması ve bu nedenle kimliği hakkında da bilgi verememesi, ayrıca KVK Kanunu m. 11’de yer alan haklardan atıf yoluyla dâhi olsa bahsedilmemesi mevzuata aykırılık teşkil ediyor.

Bu aykırılık nedeniyle KVK Kurulu tarafından verilebilecek idari para cezası en fazla 196.686 TL olabilir.

Sicile Kayıt ve Temsilci

WhatsApp LLC’nin, en geç 30/09/2020 tarihine kadar Veri Sorumluları Sicili’ne kaydolması gerekiyordu (KVK Kurumu). Kamuya açık tutulan Sicil’de yapılan aramalarda WhatsApp ile ilgili herhangi bir kayıt bulunmuyor (VERBİS), dolayısı ile WhatsApp’ın Sicil’e kayıt yükümlülüğünü ihlâl ettiği görülüyor.

Ayrıca yurtdışında yerleşik veri sorumlusu olması nedeniyle WhatsApp LLC’nin veri sorumlusu temsilcisi belirlemesi gerekiyordu. Temsilci belirleyip belirlemediklerini de dilekçede sordum.

Sicil’e kayıt yükümlülüğünün ihlâli nedeniyle KVK Kurulu tarafından verilebilecek idari para cezası en fazla 1.966.862 TL olabilir.

Dilekçe

Yukarıda yer alan itiraz ve sorulara ilaveten WhatsApp LLC’ye sorduğum sorular ve taleplerim şu şekilde:

  • KVK Kanunu m. 11/1-b kapsamında bugüne kadar tarafınızca işlenen tüm kişisel verilerimin (yazışmalarım, yaptığım işlemlerin log kayıtları hariç olmak üzere) bir kopyasının, varsa kişisel verilerim üzerinde yapılan analiz çalışmaları ve tüm detayları ile birlikte iletilmesi,
  • KVK Kanunu m. 11/1-c kapsamında bugüne kadar kişisel verilerimin hangi amaçlarla işlendiği ve amacına uygun kullanılıp kullanılmadığı bilgisinin; 07/07/2012, 25/08/2016, 19/12/2019 ve 20/07/2020 tarihli gizlilik ilkeleri ve ilgili dönemler göz önünde bulundurularak ayrı ayrı iletilmesi,
  • KVK Kanunu m. 11/1-ç kapsamında kişisel verilerimin yurtiçinde veya yurtdışında aktarıldığı üçüncü kişilerin (aktarım tarihleri ile birlikte) bildirilmesi,
  • KVK Kanunu m. 10’da düzenlenen aydınlatma yükümlülüğü kapsamında veri sorumlusu temsilcisinin kim olduğu bilgisinin ve bu kişinin iletişim bilgilerinin verilmesi,
  • Veri Sorumluları Sicili Hakkında Yönetmelik m. 9/5 uyarınca tarafınızca hazırlanması gereken, hangi kişisel verimin ne süre ile saklanacağını gösteren Kişisel Veri Saklama ve İmha Politikası’nın tarafıma iletilmesi, bunun mümkün olmaması durumunda hesabımın silinmesi için başvuru yaptıktan sonra ve fakat verilerimin imha edilmesinden önce hangi verimin ne süreyle tarafınızca muhafaza edileceği hususunda bilgi verilmesi,
  • Kişisel verilerin, ilgili kişilerin açık rızası olmaksızın yurtdışına aktarımını düzenleyen KVK Kanunu m. 9/2-b hüküm uyarınca Kişisel Verileri Koruma Kuruluna herhangi bir başvurunun yapılıp yapılmadığı, yapıldı ise sonucunun ne olduğu hususunda bilgi verilmesi…

Dilekçeye bu bağlantı üzerinden ulaşabilirsiniz.

Leave a Reply