Türkiye şahsi Bilgileri Muhafaza Kurumu’ndan WhatsApp’a Dev Ceza! Türkiye’den WhatsApp’a büyük bir ceza geldi. şahsi Dataları Muhafaza Kurumu, şahsi dataların kanuna alışılmamış olarak işlenmesini önlemek için gerekli önlemleri almadığı sebebi öne sürülerek, WhatsApp’a 1 milyon 950 bin Türk Lirası idari para cezası kesildiğini duyurdu.
şahsi Dataları Muhafaza Kurumu (KVKK), web sitesinden yaptığı açıklamada şu sözlere yer verdi:
“WhatsApp LLC (WhatsApp/veri sorumlusu) tarafınca, WhatsApp uygulamasını kullanmak isteyen kullanıcıların şahsi datalarının işlenmesine ve yurtharicinde bulunan üçüncü taraflara aktarılmasına açık istek verilmesini içerecek biçimde Hizmet Şartlarının ve Saklılık Prensibinin güncellendiği, bu kapsamda açık istek vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.
şahsi Bilgileri Muhafaza Şurasının 12.01.2021 tarihindeki ve 2021/28 sayılı sonucu ile 09.02.2021 tarihindeki ve 2021/120 sayılı sonucu çerçevesinde, yurtdışına bilgi transferi, hizmetin açık istek koşuluna bağlanması ve genel prensiplere uygunluk konuları başta olmak üzere WhatsApp hakkında 6698 sayılı şahsi Dataların Korunması Kanunu’nun (Kanun) 15’inci hususunun (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve hususa ait WhatsApp’tan alınan savunma yazıları ve bununla kontaklı olarak WhatsApp Hizmet Şartlarının ve Kapalılık Prensibi metinlerinin incelenmesi sonucunda; temel olarak data sorumlusu tarafınca kullanıcılara sunulan Hizmet Şartlarının kullanıcı ile yapılan bir kontrat olarak tanımlandığı, Zımnilik Unsurunun ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi dataların hangi gayelerle işleneceğini göstermekle birlikte esasen Hizmet Şartlarının bir modülü olarak söz edildiği ayrıyeten Hizmet Şartlarına onay verilmeden mukavelenin yürürlüğe giremeyeceğinin açıklandıği görülmüştür.
Bu kapsamda; şahsi Bilgileri Muhafaza Heyeti’nin 03.09.2021 tarih ve 2021/891 sayılı sonucu ile;
Bilgi sorumlusu tarafınca kelam konusu uygulama kapsamında çeşitli şahsi bilgi sürece faaliyetleri bakımından farklı bilgi sürece kurallarına dayanıldığı ve şahsi bilgi işlemeye yönelik açık istek kuralının ise istisna olarak başvurulan bir kaide olduğu belirtilse de Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlaması niçiniyle kontrata onay verilmesi suretiyle ilgili bireylerin açık isteğinin alınması yoluna gidildiği, bu çerçevede kullanıcılardan şahsi bilgilerinin işlenmesine ve yurtharicinde yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık istek alındığı, mukaveleye transfere ait karar koymak suretiyle sürece ve transfer faaliyetlerinin, tek metinde birbirinden ayrılmaz bir halde ilgili şahsa sunulduğu dikkate alındığında, açık isteğin “özgür iradeyle açıklanması” ögesinin zedelendiği,
Data sorumlusu tarafınca Hizmet Şartları ve Zımnilik Prensibinde yer alan “aktarım”a ait sözlerin müzakereye kapalı nitelikte sunularak ilgili bireylerin kontrata bir bütün olarak onay vermeye zorlandığı, bu suretle açık isteğin saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının transfer kuralına bağlandığı, bu kapsamda ilgili bireylerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak bilgi sorumlusunun bu uygulamasının Kanunun 4’üncü hususunda yer alan “Hukuka ve dürüstlük kurallarına uygun olma” unsuruna terslik teşkil ettiği,
İşlenen tüm şahsi bilgilerin transferine ait açık istek istenildiği, fakat bu bilgilerin işlendikleri emelle orantılı ve hudutlu bilgiler olmadığı üzere hangi datanın hangi gayeyle aktarılacağının da bahse bahis metinlerde net olarak ortaya konulmadığı, bu konuda bilgi sorumlusunca Kanunun 4’üncü hususunda yer alan “belirli, açık ve legal hedefler için işlenme” ve “işlendikleri hedefle kontaklı, sonlu ve ölçülü olma” prensiplerine karşıt hareket edildiği,
WhatsApp tarafınca şahsi bilgilerin işlenmesinin mukavelenin bir modülü haline getirilmek suretiyle ilgili şahıslardan kontrata onay vermelerinin istenildiği ve daha sonrasında “Bir mukavelenin kurulması yahut ifasıyla direkt doğruya ilgili olması kaydıyla, kontratın taraflarına ilişkin şahsi dataların işlenmesinin gerekli olması” koşulu başta olmak üzere öteki şahsi bilgi sürece kaidelerine dayanılarak şahsi datalarının işlendiğinin beyan edildiği fakat görünen süreç mukaveleye onay verme olsa da asıl yapılan sürecin şahsi bilgilerin işlenmesine açık istek alınması niteliğinde olduğu, bu bakımdan kontratın içerisine derç edilerek hizmetin bir şartı olarak dayatılması suretiyle alınan açık isteğin, “özgür iradeyle açıklanması” ögesinin zedelendiği,
Data sorumlusunun Türkiye’de bulunan ilgili şahıslardan elde ettiği şahsi bilgiler üzerinde, bu dataları elde ettikten daha sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma üzere her türlü sürece faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece şahsi bilgilerin yurt dışına transferi manasına geldiği, ötürüsıyla kelam konusu transferin, Kanunun “şahsi bilgilerin yurt dışına aktarılması” başlıklı 9 uncu unsuruna uygun olarak yapılmasının mecburilik arz ettiği fakat data sorumlusu tarafınca transfer faaliyetleri için hiç bir biçimde açık isteğe başvurulmadığının beyan edildiği, birebir vakitte bilgi sorumlusunca Konseyimize bir taahhütname müracaatında da bulunulmadığı dikkate alındığında, data sorumlusu tarafınca Kanunun 9 uncu hususuna uygun hareket edilmediği,
Data sorumlusu tarafınca, profilleme hedefiyle çerezler aracılığıyla yapılacak şahsi bilgi sürece faaliyetine ait olarak ilgili şahıslardan açık istek alınmadığı, bu kapsamda yürütülen şahsi bilgi sürece faaliyetinin de hukuka uygun olmadığı
anlaşıldığından Kanunun 12 nci hususunun (1) numaralı fıkrasında yer alan şahsi bilgilerin hukuka alışılmamış olarak işlenmesini önlemek maksadıyla uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almadığı tespit edilen data sorumlusu hakkında Kanunun 18 inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,
Ayrıyeten bilgi sorumlusunun;
Uygulamaya konulmadığı belirtilen 04.01.2021 tarihindeki Hizmet Şartları ve Zımnilik Prensibi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili bireylerin yanlışsız bilgilendirilmesi için kelam konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
Zımnilik Unsurunun, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın ögelerini taşımadığı anlaşıldığından, Kanunun 10’uncu hususu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Yöntem ve Temeller Hakkında Bildirim kararlarına uygun bir aydınlatma yapılması ve kelam konusu süreçlerin kararından Heyete bilgi verilmesi konusunda talimatlandırılmasına karar verilmiştir.
Kamuoyuna hürmetle duyurulur.“
şahsi Dataları Muhafaza Kurumu (KVKK), web sitesinden yaptığı açıklamada şu sözlere yer verdi:
“WhatsApp LLC (WhatsApp/veri sorumlusu) tarafınca, WhatsApp uygulamasını kullanmak isteyen kullanıcıların şahsi datalarının işlenmesine ve yurtharicinde bulunan üçüncü taraflara aktarılmasına açık istek verilmesini içerecek biçimde Hizmet Şartlarının ve Saklılık Prensibinin güncellendiği, bu kapsamda açık istek vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.
şahsi Bilgileri Muhafaza Şurasının 12.01.2021 tarihindeki ve 2021/28 sayılı sonucu ile 09.02.2021 tarihindeki ve 2021/120 sayılı sonucu çerçevesinde, yurtdışına bilgi transferi, hizmetin açık istek koşuluna bağlanması ve genel prensiplere uygunluk konuları başta olmak üzere WhatsApp hakkında 6698 sayılı şahsi Dataların Korunması Kanunu’nun (Kanun) 15’inci hususunun (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve hususa ait WhatsApp’tan alınan savunma yazıları ve bununla kontaklı olarak WhatsApp Hizmet Şartlarının ve Kapalılık Prensibi metinlerinin incelenmesi sonucunda; temel olarak data sorumlusu tarafınca kullanıcılara sunulan Hizmet Şartlarının kullanıcı ile yapılan bir kontrat olarak tanımlandığı, Zımnilik Unsurunun ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi dataların hangi gayelerle işleneceğini göstermekle birlikte esasen Hizmet Şartlarının bir modülü olarak söz edildiği ayrıyeten Hizmet Şartlarına onay verilmeden mukavelenin yürürlüğe giremeyeceğinin açıklandıği görülmüştür.
Bu kapsamda; şahsi Bilgileri Muhafaza Heyeti’nin 03.09.2021 tarih ve 2021/891 sayılı sonucu ile;
Bilgi sorumlusu tarafınca kelam konusu uygulama kapsamında çeşitli şahsi bilgi sürece faaliyetleri bakımından farklı bilgi sürece kurallarına dayanıldığı ve şahsi bilgi işlemeye yönelik açık istek kuralının ise istisna olarak başvurulan bir kaide olduğu belirtilse de Hizmet Şartlarının kullanıcı ile yapılan bir mukavele olarak tanımlaması niçiniyle kontrata onay verilmesi suretiyle ilgili bireylerin açık isteğinin alınması yoluna gidildiği, bu çerçevede kullanıcılardan şahsi bilgilerinin işlenmesine ve yurtharicinde yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık istek alındığı, mukaveleye transfere ait karar koymak suretiyle sürece ve transfer faaliyetlerinin, tek metinde birbirinden ayrılmaz bir halde ilgili şahsa sunulduğu dikkate alındığında, açık isteğin “özgür iradeyle açıklanması” ögesinin zedelendiği,
Data sorumlusu tarafınca Hizmet Şartları ve Zımnilik Prensibinde yer alan “aktarım”a ait sözlerin müzakereye kapalı nitelikte sunularak ilgili bireylerin kontrata bir bütün olarak onay vermeye zorlandığı, bu suretle açık isteğin saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının transfer kuralına bağlandığı, bu kapsamda ilgili bireylerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak bilgi sorumlusunun bu uygulamasının Kanunun 4’üncü hususunda yer alan “Hukuka ve dürüstlük kurallarına uygun olma” unsuruna terslik teşkil ettiği,
İşlenen tüm şahsi bilgilerin transferine ait açık istek istenildiği, fakat bu bilgilerin işlendikleri emelle orantılı ve hudutlu bilgiler olmadığı üzere hangi datanın hangi gayeyle aktarılacağının da bahse bahis metinlerde net olarak ortaya konulmadığı, bu konuda bilgi sorumlusunca Kanunun 4’üncü hususunda yer alan “belirli, açık ve legal hedefler için işlenme” ve “işlendikleri hedefle kontaklı, sonlu ve ölçülü olma” prensiplerine karşıt hareket edildiği,
WhatsApp tarafınca şahsi bilgilerin işlenmesinin mukavelenin bir modülü haline getirilmek suretiyle ilgili şahıslardan kontrata onay vermelerinin istenildiği ve daha sonrasında “Bir mukavelenin kurulması yahut ifasıyla direkt doğruya ilgili olması kaydıyla, kontratın taraflarına ilişkin şahsi dataların işlenmesinin gerekli olması” koşulu başta olmak üzere öteki şahsi bilgi sürece kaidelerine dayanılarak şahsi datalarının işlendiğinin beyan edildiği fakat görünen süreç mukaveleye onay verme olsa da asıl yapılan sürecin şahsi bilgilerin işlenmesine açık istek alınması niteliğinde olduğu, bu bakımdan kontratın içerisine derç edilerek hizmetin bir şartı olarak dayatılması suretiyle alınan açık isteğin, “özgür iradeyle açıklanması” ögesinin zedelendiği,
Data sorumlusunun Türkiye’de bulunan ilgili şahıslardan elde ettiği şahsi bilgiler üzerinde, bu dataları elde ettikten daha sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma üzere her türlü sürece faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece şahsi bilgilerin yurt dışına transferi manasına geldiği, ötürüsıyla kelam konusu transferin, Kanunun “şahsi bilgilerin yurt dışına aktarılması” başlıklı 9 uncu unsuruna uygun olarak yapılmasının mecburilik arz ettiği fakat data sorumlusu tarafınca transfer faaliyetleri için hiç bir biçimde açık isteğe başvurulmadığının beyan edildiği, birebir vakitte bilgi sorumlusunca Konseyimize bir taahhütname müracaatında da bulunulmadığı dikkate alındığında, data sorumlusu tarafınca Kanunun 9 uncu hususuna uygun hareket edilmediği,
Data sorumlusu tarafınca, profilleme hedefiyle çerezler aracılığıyla yapılacak şahsi bilgi sürece faaliyetine ait olarak ilgili şahıslardan açık istek alınmadığı, bu kapsamda yürütülen şahsi bilgi sürece faaliyetinin de hukuka uygun olmadığı
anlaşıldığından Kanunun 12 nci hususunun (1) numaralı fıkrasında yer alan şahsi bilgilerin hukuka alışılmamış olarak işlenmesini önlemek maksadıyla uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almadığı tespit edilen data sorumlusu hakkında Kanunun 18 inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,
Ayrıyeten bilgi sorumlusunun;
Uygulamaya konulmadığı belirtilen 04.01.2021 tarihindeki Hizmet Şartları ve Zımnilik Prensibi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili bireylerin yanlışsız bilgilendirilmesi için kelam konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
Zımnilik Unsurunun, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın ögelerini taşımadığı anlaşıldığından, Kanunun 10’uncu hususu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Yöntem ve Temeller Hakkında Bildirim kararlarına uygun bir aydınlatma yapılması ve kelam konusu süreçlerin kararından Heyete bilgi verilmesi konusunda talimatlandırılmasına karar verilmiştir.
Kamuoyuna hürmetle duyurulur.“
- WhatsApp Masaüstü Nedir; Nasıl Kullanılır?
- WhatsApp Web Nedir; Nasıl Kullanılır?
- Signal Nedir; WhatsApp’tan Ne Farkı Var?