Giriş
“Özel hayatınıza saygılı olmak DNA’mızda var. WhatsApp’ı kurduğumuz günden itibaren Hizmetlerimizi güçlü gizlilik ilkeleri ışığında geliştirmeyi hedefliyoruz.[1]”
2014 yılında Facebook Şirketler Ailesine[2] dahil olan WhatsApp, 08 Şubat 2021 tarihi itibariyle geçerli olacak hizmet kullanım şartları ve gizlilik politikasına ilişkin güncellemelerini duyurmuştur. Söz konusu duyuru 2021’in ilk günlerinden itibaren Türkiye’nin ve dünyanın gündemini meşgul etmektedir[3]. Nitekim bu değişiklik duyurusunun akabinde Signal ve Telegram gibi rakip mesajlaşma uygulamalarının indirme sayılarında dünya çapında ani artışlar görülmüştür. Sensor Tower'ın verilerine göre Apple ve Google'ın platformlarında Signal iki günde 100 binden fazla; Telegram ise 2,2 milyon civarında indirme sayısına ulaşmıştır[4]. Yine yerli bir mesajlaşma uygulaması olan BIP ise 3 gün içerisinde 4,6 milyon kişi tarafından indirilmiştir[5]. Bu değişikliğe yönelik tepkilere karşı kamu otoriteleri de hareketsiz kalmamış hem Rekabet Kurulu[6] hem de Kişisel Verileri Koruma Kurulu[7] WhatsApp hakkında inceleme başlatmıştır.
Sosyal medyada paylaşılan ve teyide muhtaç birçok bilgi karşısında bireyler de kişisel verilerinin, (özellikle özel görüşmelerinin) kendi kontrol alanlarından çıkıp farklı amaçlarla kullanılacağı düşüncesiyle WhatsApp’i kullanmaya devam etmek noktasında tereddütler yaşamaktadır. Bu çalışma kapsamında WhatsApp’in resmî sitesinde yayınladığı “Gizlilik Politikası”nın önceki halleriyle kıyaslanması suretiyle bu endişenin makuliyeti tartışılacak ve Türkiye’de uygulanan gizlilik politikasında açıklanan WhatsApp ile Facebook arasındaki veri paylaşımına ilişkin kısımlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan genel ilkeler ve veri işleme şartları uyarınca incelenecektir.
I. WhatsApp’in Gizlilik Politikaları
Kullanıcılarına ücretsiz mesajlaşma imkânı sunan WhatsApp günümüze kadar:
-
2012, 2016 yıllarında tüm hizmet sunduğu ülkelerde geçerli olan;
-
2018 yılında ise Avrupa Bölgesi[8] için farklı esasların öngörüldüğü;
-
2019 ve 2020 yılında Avrupa Bölgesi dışında yer alan ülkeler için güncellenen;
-
2021 yılında ise yine tüm hizmet verilen ülkelerde geçerli olacak şekilde güncellenen ve fakat Avrupa Bölgesinde yer alan kullanıcılar için ayrı esaslar içeren;
toplamda 7 gizlilik politikasını resmi internet sitesi üzerinden kullanıcılarının dikkatine sunmuştur. İnceleme konumuz WhatsApp’in Facebook ile paylaştığı veriler ve paylaşım amaçları olduğundan 2016 yılı ve sonrasında WhatsApp’in gizlilik politikasında yer alan hükümler bu sınırda karşılaştırmalı bir incelemeye tabi tutulacaktır. Bu noktada gizlilik politikasındaki ifadelerin kapsamının daha iyi anlaşılabilmesi için ihtiyaç duyulduğu ölçüde “WhatsApp Hizmet Şartlarına” da değinilecektir. Söz konusu incelemede gizlilik politikalarının Facebook’a aktarım hükümleri kronolojik sırayla açıklanacaktır.
A. 25 Ağustos 2016 Tarihli Gizlilik Politikası
WhatsApp'in 25.08.2016 tarihli Gizlilik Politikasında, hizmet verdiği tüm bölgelerde aynı esaslar öngörülmek suretiyle toplanan verileri Facebook ile paylaşma esaslarına ilişkin çeşitli hükümler yer almaktadır. Söz konusu esaslar Avrupa Bölgesi dışında yer alan ülkeler ile Avrupa Bölgesinde yer alan ülkeler için tamamen aynıdır. Bu nedenle doğrudan ilgili hükümlere aşağıda yer verilmiştir. Buna göre WhatsApp’in 2014 yılı itibariyle Facebook bünyesinde yer aldığının da altı çizilerek:
“Facebook şirketler ailesine 2014 yılında katıldık. Facebook şirketler ailesinin bir parçası olan WhatsApp, bu şirketler ailesinden bilgi alır ve bu şirketlerle bilgi paylaşır. Hizmetlerimizin ve bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler. Altyapı ve yayın sistemlerini iyileştirmeye, bizim veya bu şirketlerin sunduğu Hizmetlerin nasıl kullanıldığını anlamaya, sistemleri güvende tutmaya ve istenmeyen içerik, kötüye kullanım veya ihlal davranışlarıyla mücadele etmeye yardımcı olmak buna dahildir. Facebook ve Facebook ailesindeki diğer şirketler de, hizmetlerindeki deneyimlerinizi iyileştirmek için bizden aldıkları bilgileri kullanabilir. Ürün tavsiyelerinde bulunmak (ör. arkadaş, bağlantı veya ilgi çekici içerik önerileri) veya sizinle alakalı teklif ve reklamlar göstermek buna örnek olarak verilebilir. Bununla birlikte, WhatsApp mesajlarınız Facebook'ta diğer kişilerin görebileceği şekilde paylaşılmaz. Hatta Facebook, WhatsApp mesajlarınızı Hizmetlerimizi yürütmemizi ve sunmamızı kolaylaştırmak dışında başka hiçbir amaçla kullanmaz.[9]”
Bunun yanında Gizlilik Politikasında yer almasa da WhatsApp’in Facebook ile veri paylaşılıp paylaşılmaması hususunda kullanıcılarına ret imkânı tanıdığı anlaşılır. Bu kapsamda söz konusu politikanın yürürlüğe girmesinden itibaren 30 içerisinde Facebook ile veri paylaşımının devre dışı bırakılmasını tercih imkânı tanınmıştır (opt-out)[10].
B. 24 Nisan 2018 Tarihli Avrupa Bölgesinde Geçerli Gizlilik Politikası
24.04.2018 tarihinden itibaren geçerli olmak üzere WhatsApp Gizlilik Politikasını güncellemiştir[11]. Bu politika hali hazırda Avrupa Bölgesinde yer alan ülkeler için yürürlüktedir. Önceki tarihli politikadan farklı olan hususların, kullanıcıların dikkatini çekmesi adına ayrı bir başlık altında 24.04.2018 tarihli politikanın en başında yer aldığı zikredilmelidir (Key Updates başlığı altında). Bu kapsamda: “WhatsApp’in Diğer Facebook ailesinde yer alan Şirketlerle Nasıl Çalıştığı” ayrı bir başlık halinde politikada yer almıştır. Yine ilgili hükümde WhatsApp’in Facebook bünyesinde yer aldığına vurgu yapılmış ve:
“WhatsApp, altyapı, teknoloji ve hizmetlerimizi temine, sunduğumuz hizmetleri iyileştirmemize ve WhatsApp ile Facebook Şirketlerini güvenli ve emniyetli tutmamıza yardımcı olan sistemler gibi hizmetleri almak için (Facebook şirketleri ile çalışır) ve diğer Facebook Şirketleri ile bilgi paylaşır. Facebook Şirketlerinden hizmet aldığımızda, onlarla paylaştığımız bilgiler talimatlarımız doğrultusunda WhatsApp'a yardımcı olmak için kullanılır. Bu şirketlerle birlikte çalışmak şunları yapmamıza imkân tanır:
- Size dünyanın her yerinde hızlı ve güvenilir mesajlaşma ve aramalar sağlayabiliriz ve hizmetlerimizin ve özelliklerimizin nasıl performans gösterdiğini anlayabiliriz.
- Spam hesaplarını kaldırarak ve kötüye kullanımla mücadele ederek WhatsApp ve Facebook Şirket Ürünleri genelinde güvenliği ve emniyeti sağlayabiliriz.
- WhatsApp deneyiminizi Facebook Şirket Ürünleri ile birlikte kullanabilirsiniz (iki ürün arasında köprü kurulmasına imkân tanırız). Örneğin, Facebook'tan bir WhatsApp sohbetine giden bir gönderinin bağlantısını paylaşabilirsiniz.
- WhatsApp üzerinden işletmelerle iletişim kurmanızı sağlarız. Örneğin, bir işletmenin Facebook sayfasını ziyaret ederseniz, onlarla kolayca WhatsApp üzerinden sohbet başlatmaya imkân tanıyan bir düğme görebilirsiniz.
WhatsApp'ta paylaştığınız hiçbir şey; mesajlarınız, fotoğraflarınız ve hesap bilgileriniz de buna dahil olmak üzere Facebook'ta veya diğer Facebook bünyesinde yer alan şirketler uygulamalarında başkalarının görebileceği şekilde paylaşılmayacak veya tam tersi bu uygulamalarda yayınladığınız hiçbir şey başkalarının görebileceği şekilde WhatsApp'ta paylaşılmayacaktır. Meğerki siz böyle bir paylaşımı kendi iradeniz ile yapmış olun.
Bugün Facebook, Facebook ürün deneyimlerinizi geliştirmek veya Facebook'ta sizinle daha ilgili Facebook reklam deneyimleri sağlamak için WhatsApp hesap bilgilerinizi kullanmamaktadır.[12] WhatsApp'ı ve kullandığınız diğer Facebook Şirket Ürünlerini deneyimleme şeklinizi iyileştirmek için her zaman yeni yollar üzerinde çalışıyoruz. Sunduğumuz yeni deneyimler ve uygulamalarımız hakkında sizi bilgilendirmeye devam edeceğiz.[13]”
WhatsApp’in, 24.04.2018 tarihli gizlilik politikasında verilerin toplanması, işlenmesi ve Facebook bünyesinde yer alan şirketlerle paylaşılmasına dair 25.08.2016 tarihli politika ile kıyaslandığında ayrıntılı bilgilere yer vermiş olduğu gözlenmektedir. WhatsApp'in 25.08.2016 tarihli Gizlilik Politikasında, toplanan verileri Facebook ile paylaşma esaslarına ilişkin hükümlerinin bir kısmı muhafaza edilmiş ve şu şekilde revize edilmiştir:
“Facebook Şirketlerinin bir parçasıyız. Facebook Şirketlerinin bir parçası olarak WhatsApp, Facebook Şirketlerinden bilgi alır ve onlarla bilgi paylaşır. Hizmetlerimizin ve bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler. Altyapı ve yayın sistemlerini iyileştirmeye, bizim veya bu şirketlerin sunduğu Hizmetlerin nasıl kullanıldığını anlamaya, işletmelerle bağlantı kurabilmenizi temin etmenize yardımcı olmak sistemleri güvende tutma da buna dahildir. Ayrıca spam, tehditler, kötüye kullanım veya ihlal faaliyetleriyle mücadele etmek ve Facebook Şirket Ürünleri genelinde emniyeti ve güvenliği desteklemek için bilgi paylaşıyoruz. Ancak WhatsApp mesajlarınız başkalarının görebileceği şekilde Facebook'ta paylaşılmayacaktır. Bununla birlikte, WhatsApp mesajlarınız Facebook'ta diğer kişilerin görebileceği şekilde paylaşılmaz. Hatta Facebook, WhatsApp mesajlarınızı Hizmetlerimizi yürütmemizi ve sunmamızı kolaylaştırmak dışında başka hiçbir amaçla kullanmaz.”[14].
Böylece 25.08.2016 tarihli politikada yer alan: “Ürün tavsiyelerinde bulunmak (ör. arkadaş, bağlantı veya ilgi çekici içerik önerileri) veya sizinle alakalı teklif ve reklamlar göstermek buna örnek olarak verilebilir” ifadesi çıkarılmıştır.
C. 19 Aralık 2019 Tarihli Avrupa Bölgesi Dışındaki Ülkeler için Geçerli Gizlilik Politikası
Avrupa Bölgesi dışında yer alan ülkeler için WhatsApp, 19.12.2019 tarihinden itibaren geçerli olmak üzere WhatsApp Gizlilik Politikasını güncellemiştir[15]. Buna karşın “güncellenen” metin 25.08.2016 tarihli metin ile tamamen aynıdır. Bu sebeple ilgili metnin içeriğinde bir farklılık olarak incelemesi icap eden hüküm yahut hükümler yer almaz. Keza yine Gizlilik Politikasında yer almasa da WhatsApp’in Facebook ile veri paylaşılıp paylaşılmaması hususunda kullanıcılarına takdir imkânı tanıdığı, ilgili güncellemeye yönelik yapılan haberler vasıtasıyla anlaşılmaktadır. Bu kapsamda söz konusu politikanın yürürlüğe girmesinden itibaren 30 içerisinde Facebook ile veri paylaşımının devre dışı bırakılmasını tercih imkânı tanınmıştır (opt-out)[16].
D. 20 Temmuz 2020 Tarihli Avrupa Bölgesi Dışındaki Ülkeler için Geçerli Gizlilik Politikası
Avrupa Bölgesi dışında yer alan ülkeler için WhatsApp 20.07.2020 tarihinden itibaren geçerli olmak üzere WhatsApp Gizlilik Politikasını güncellemiştir ve bu politika mevcut gizlilik politikasıdır[17]. 20.07.2020 tarihli politikanın en başında Avrupa Bölgesinde yer alan kullanıcıların farklı esaslara tabi olduğuna dikkat çekmek maksadıyla ilgili politikaya yönlendiren bir ekleme yapılmıştır. Bu politikada 19.12.2019’daki politikadan farklı olarak yapılan değişikliklerin (Avrupa Bölgesindeki ülkelerde geçerli olan 24.04.2018 tarihli politikada olduğu gibi), kullanıcıların dikkatini çekmesi adına ayrı bir başlık altında ve politikanın en başında yer aldığı görülür (Key Updates başlığı altında)[18].
“Önemli Güncellemeler” başlıklı bölümde “Sahip Olunan Seçenekler/İmkânlar” alt başlığında Facebook ile veri paylaşımına yönelik şu ifade yer alır:
“Eğer mevcut bir kullanıcıysanız, Facebook reklam ve ürünleriyle ilgili deneyiminizin iyileştirilmesi amacıyla WhatsApp hesap bilgilerinizin Facebook'la paylaşılmamasını seçebilirsiniz. Güncellenmiş Koşullar ve Gizlilik Politikamızı kabul etmiş olan mevcut kullanıcılarımızın, Ayarlar> Hesap'a giderek seçim yapmak için ek olarak 30 günleri vardır.”
Söz konusu bilgi dışında 20.07.2020 tarihli politikada da Facebook’a veri aktarımı ile ilgili 25.08.2016 ve dolayısıyla 19.12.2019 tarihli gizlilik politikalarından ayrılan bir unsur bulunmamaktadır. Şu hâlde mevcut gizlilik politikasında kullanıcılara Facebook şirketleri ile veri paylaşımını engelleme imkânının ne suretle ve hangi zaman dilimi içerisinde kullanılabileceğine yönelik bilgilendirme yapılmıştır.
E. 04 Ocak 2021 Tarihli Gizlilik Politikası
WhatsApp, hem Avrupa Bölgesinde hem de Avrupa Bölgesi dışında yer alan ülkeler için 04.01.2021 tarihinde yayınladığı WhatsApp Gizlilik Politikasını 08.02.2021 tarihinden itibaren geçerli olmak üzere güncellemiştir. Bu güncellemeye mahsus değişiklikler esas olarak farklı olmamakla birlikte güncellenen gizlilik politikaları halihazırda farklı olduğundan Avrupa Bölgesi ve Avrupa Bölgesi dışında uygulanmak üzere iki farklı metin bulunmaktadır. Bu farklılığın kaynağı ise 24.04.2018 tarihli Avrupa Bölgesinde geçerli Gizlilik Politikasıdır. Buna ek olarak güncellenen politikanın kabul edilmemesi halinde 08.02.2021 tarihi itibariyle değişikliği kabul etmeyen hesapların silineceği her iki bölge için getirilen güncellemede yer almaktadır[19]. Söz konusu ifade Türkiye’de ve dünyada özellikle Facebook’a yapılan ya da yapılacak olan veri aktarımları bakımından tartışmalara sebebiyet vermiştir.
Gelen tepkiler üzerine WhatsApp, 15.01.2021 tarihinde yayınlamış olduğu açıklamada, 8 Şubat’ta kimsenin hesabının askıya alınmayacağını ve silinmeyeceğini, işletmelerle ilgili yeni seçenekler kullanıma sunulmadan önce (15.05.2021) kullanıcılara aşamalı olarak ulaşacağını ve kullanıcıların bilgilendireceğini duyurmuştur[20]. Aşağıda söz konusu güncellemenin Facebook’a veri aktarımına dair öngördüğü değişiklikler, Avrupa Bölgesindeki ülkeler ve Avrupa Bölgesi dışında yer alan ülkeler için ayrı başlıklar altında ele alınacaktır. Zira her iki grubun bu alanda tabi olduğu gizlilik politikası, ayrıntısına değinildiği üzere farklıdır.
1. 04.01.2021 Güncellemesi ve Avrupa Bölgesinde Geçerli Olacak Gizlilik Politikası
04.01.2021 tarihli güncelleme, WhatsApp tarafından Facebook şirketlerinden hizmet alınması sırasında paylaşılan veriler üzerinde Facebook’un kendi amaçları ile veri işleme faaliyeti gerçekleştiremeyeceğine ilişkin ibareler korunurken “WhatsApp’in Diğer Facebook ailesinde yer alan Şirketlerle Nasıl Çalıştığı” başlığı şu şekilde değiştirilmiştir:
“Facebook Şirketlerinin bir parçası olarak WhatsApp, spam, tehditler, kötüye kullanım veya ihlal faaliyetleriyle mücadele amacıyla Facebook Şirketi Ürünleri genelinde emniyeti, güvenliği ve bütünlüğü artırmak için diğer Facebook Şirketlerinden bilgi alır ve bu Şirketlerle bilgi paylaşır. WhatsApp ayrıca Hizmetlerimizi işletmemize, sağlamamıza, geliştirmemize, anlamamıza, özelleştirmemize, desteklememize ve pazarlamamıza yardımcı olmak için bizim adımıza hareket eden diğer Facebook Şirketleri ile çalışır ve bilgi paylaşır. Buna örneğin size dünyanın her yerinde hızlı ve güvenilir mesajlaşma ve arama hizmeti sağlamak için altyapı, teknoloji ve sistemlerin sağlanması; altyapı ve dağıtım sistemlerinin iyileştirilmesi; Hizmetlerimizin nasıl kullanıldığını anlamak; işletmelerle bağlantı kurmanız için bir yol sağlamamıza yardımcı olmak ve sistemlerin güvenliğini sağlamak dahildir. Facebook Şirketlerinden hizmet aldığımız zaman, onlarla paylaştığımız bilgiler yönergelerimize uygun olarak WhatsApp adına kullanılır. WhatsApp’ın bu temelde paylaştığı hiçbir bilgi Facebook Şirketlerinin kendi amaçları için kullanılamaz.[21]”
Buna ek olarak genel mahiyette uyarılar da gizlilik politikasına eklenmiştir. Bu kapsamda aşağıdaki maddelere yer verilmiştir: “Genel olarak herhangi bir kullanıcının sohbet ve mesajlarınızın ekran görüntülerini alabileceğini, kendileriyle yaptığınız görüşmeleri kaydedebileceğini ve bunları WhatsApp’a veya başka herhangi birine gönderebileceğini ya da başka bir platformda paylaşabileceğini göz önünde bulundurmalısınız.” “WhatsApp’ta bir işletmeyle mesajlaştığınızda, paylaştığınız içeriğin o işletmedeki pek çok kişi tarafından görülebileceğini göz önünde bulundurun. Ek olarak, bazı işletmeler müşterileri ile olan iletişimlerini yönetmeye yardımcı olmak üzere üçüncü taraf hizmet sağlayıcılarıyla (Facebook’u da içerebilir) çalışıyor olabilirler. Örneğin, bir işletme böyle bir üçüncü taraf hizmet sağlayıcısına bunları işletme için göndermesi, saklaması, okuması, yönetmesi veya başka bir şekilde işlemesi amacıyla iletişimlerine erişim verebilir. Bir işletmenin, bunları üçüncü taraflarla veya Facebook ile nasıl paylaşıyor olabileceği dahil olmak üzere bilgilerinizi nasıl işlediğini anlamak için o işletmenin gizlilik ilkesini incelemeniz veya doğrudan işletmeyle iletişime geçmeniz gerekir.”
Ayrıca 24.04.2018’deki gizlilik politikasında Facebook şirketlerinden hizmet alınması sırasında mesajların paylaşılmayacağı ifadesine yer verilmişken güncellenen politikada: “Facebook Şirketlerinden hizmet aldığımızda, onlarla paylaştığımız bilgiler WhatsApp adına ve talimatlarımıza uygun olarak kullanılır. WhatsApp’ın bu temelde paylaştığı hiçbir bilgi Facebook Şirketlerinin kendi amaçları için kullanılamaz.[22]” cümlelerine yer verilmiştir. Buna ilaveten önemli bir tespit olarak “Hizmetlerimizin ve bu şirketlerin (Facebook şirketlerinin[23]) sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması” ve “bu şirketlerin (Facebook şirketlerinin)[24] sunduğu Hizmetlerin nasıl kullanıldığını anlamaya” ifadesinin politikadan çıkarıldığına da işaret edilmelidir.
2. 04.01.2021 Güncellemesi ve Avrupa Bölgesi Dışındaki Ülkeler için Geçerli Olacak Gizlilik Politikası
04.01.2021 tarihli güncelleme ile birlikte Avrupa Bölgesi dışındaki ülkeler için “WhatsApp’in Diğer Facebook ailesinde yer alan Şirketlerle Nasıl Çalıştığı” başlığı altında halihazırda yer alan açıklamalar büyük oranda tekrarlanmakla birlikte şeklen değiştirilmiş ve kullanıcılara Facebook ve WhatsApp hesaplarını birleştirmeleri halinde de veri paylaşımının yapılacağı belirtilmiştir. Buna göre:
“Facebook Şirketlerinin bir parçası olan WhatsApp, diğer Facebook Şirketlerinden bilgi alır ve bu şirketlerle bilgi paylaşımında bulunur (buraya göz atın). Hizmetlerimizin ve Facebook Şirketi Ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler. Bu amaçlar şunları içerir:
- altyapının ve dağıtım sistemlerinin iyileştirilmesine yardımcı olmak,
- Hizmetlerimizin veya onların hizmetlerinin[25] nasıl kullanıldığını anlamak,
- Facebook Şirketi Ürünleri genelinde emniyeti, güvenliği ve bütünlüğü artırmak; örneğin sistemleri güvence altına almak ve spam, tehditler, kötüye kullanım veya ihlal faaliyetleriyle mücadele etmek,
- onların hizmetlerini ve sizin bunları kullanma deneyiminizi iyileştirmek, örneğin sizin için önerilerde bulunmak (ör. arkadaşlar, grup bağlantıları veya ilginç içeriklerle ilgili öneriler), özellikleri ve içeriği kişiselleştirmek, satın alımları ve işlemleri tamamlamanıza yardımcı olmak ve Facebook Şirketi Ürünleri genelinde ilgili teklifler ve reklamlar göstermek ve[26]
- WhatsApp deneyimlerinizi diğer Facebook Şirketi Ürünleri ile birleştirmenizi sağlayan entegrasyonlar sağlamak. Örneğin, WhatsApp’ta satın aldıklarınız için ödeme yapmak üzere Facebook Pay hesabınızı bağlamanıza imkan vermek veya WhatsApp hesabınızı bağlayarak arkadaşlarınızla Portal gibi diğer Facebook Şirketi Ürünleri üzerinden sohbet etmenize olanak sağlamak.[27]”
şeklinde revize edilmiştir.
Önceki politikalarda süreyle sınırlı olsa da varlığını koruyan Facebook ile verilerin paylaşılmasını engellemeye yönelik geliştirilmiş uygulama içi seçenek (opt-out imkânı) ve bu imkânın nasıl kullanılacağına dair açıklamalara bu gizlilik politikasında yer verilmemiştir. Tüm bunlara ek olarak “Esasında Facebook, WhatsApp mesajlarınızı Hizmetlerimizi işletmemize ve sağlamamıza yardımcı olmak dışında herhangi bir amaçla kullanmayacaktır.” cümlesi de politikadan çıkarılmıştır.
II. WhatsApp ve Facebook Arasındaki Veri Aktarımlarının İncelenmesi
A. Avrupa Bölgesi ve Türkiye’deki Aktarım Amaçlarının Farklı Olması
Ayrıntısıyla izah edildiği üzere 25 Ağustos 2016 tarihinde WhatsApp tarafından kullanım koşulları ve gizlilik politikası dünya genelinde geçerli olacak şekilde güncellenmiştir. Bu güncellemede WhatsApp kullanıcılarının verilerinin iş süreçlerinin analizi, sistem güvenliğinin sağlanması ve reklamcılık amaçlarıyla Facebook Şirketleri ile paylaşılacağı belirtilmiştir. Bu aktarım faaliyeti ve amaçları Avrupa Birliği’ndeki Veri Koruma Otoritelerinin dikkatini çekerek çeşitli soruşturmalara sebebiyet vermiştir. Güncellenen gizlilik politikası uyarınca mevcut kullanıcılara verilerinin reklamcılık amaçlı olarak aktarılmasına ilişkin rızalarını 30 gün içerisinde geri çekme hakkı tanınmış ancak bu imkân iş süreçlerinin analizi ve sistem güvenliği amaçları için tanınmamıştır. Hemen belirtelim ki 2021 değişikliğinde olduğu gibi bu değişiklikte de kullanım koşulları ve gizlilik politikasının kullanıcılar tarafından kabul edilmesi bir zorunluluk olup kabul etmeyen kullanıcıların WhatsApp’i kullanma imkânı bulunmamaktadır.
Güncel gizlilik politikasının yayınlanmasından sonra kısa bir süre içerisinde öncelikle Almanya’da Hamburg Veri Koruma Otoritesi tarafından 1 Eylül 2016 tarihinde değişen kullanım koşullarına ve veri paylaşımına ilişkin sorular Facebook’a iletilmiş ve 23 Eylül 2016 tarihinde Facebook tarafından WhatsApp kullanıcılarının kişisel verilerinin genişletilmiş amaçlarla kullanılmasının durdurulmasına ilişkin bir idari karar verilmiştir. Facebook bu karara karşı idari itiraz süreçlerini yürütmüşse de Yüksek İdare Mahkemesi 26 Şubat 2018 tarihli kararında itirazı reddederek otoritenin vermiş olduğu kararı yerinde bulmuştur[28]. Benzer şekilde Information Commissioner's Office (“ICO”) tarafından 9 Eylül 2016’da bir soruşturma başlatılmıştır. 27 Ekim 2016 tarihinde ise Article 29 Çalışma Grubu WhatsApp’e göndermiş olduğu yazıda veri aktarımının mahiyetine ilişkin açıklama talep ederek gerekli yasal korumalar sağlanana kadar veri aktarımını durdurma çağrısı yapmıştır[29]. Bunun üzerine Facebook 28 Ekim 2016 tarihinde Facebook reklamları ve ürün deneyimlerinin geliştirilmesi amaçlı veri aktarımlarını durdurduğunu açıklamıştır[30]. Fransa’da ise CNIL politika değişikliğini ilk günden itibaren takip ederek 2017’nin son aylarında WhatsApp’e veri aktarımının yasal dayanağının olmadığını ihtar etmiş ve mevcut düzenlemelerin gereklerine uyum sağlaması için bir aylık süre vermiştir[31]. Daha sonrasında WhatsApp ve Facebook arasındaki veri aktarımı hakkında üye devlet otoriteleri ortak bir yaklaşım geliştirmek amacı ile Article 29 Çalışma Grubu ile birlikte çalışmışlardır. Ekim 2017’de Article 29 Çalışma Grubu veri aktarımına ilişkin duyulan ortak endişeleri açıklayan bir metni WhatsApp yöneticisi Jan Koum’a iletmiştir[32].
25 Ağustos 2016 tarihli kullanım koşulları ve gizlilik politikası güncellemesi sadece veri koruma otoritelerinin değil 2014 yılında Facebook ve WhatsApp birleşmesini soruşturup bu birleşmeye izin veren Avrupa Komisyonunu da harekete geçirmiştir[33]. Avrupa Komisyonu 18 Mayıs 2017 tarihinde Facebook’un birleşme sürecinde hatalı ve yanıltıcı bilgi sağladığını, 2014 yılında birleşme sırasında beyan edilenin aksine Facebook ve WhatsApp kullanıcılarının otomatik olarak eşleştirilme olasılığının 2014 yılında zaten teknik olarak mevcut olduğunu, Facebook çalışanlarının böyle bir olasılığın farkında olduğunu tespit etmiş ve Facebook için 110 milyon Euro para cezası uygulanmasına karar vermiştir[34].
Pek çok boyutuyla birlikte yaklaşık iki yıl süren incelemeler kapsamında WhatsApp Avrupa Birliği’nde üye devlet veri koruma otoriteleri ve Article 29 Çalışma Grubu ile toplantılar ve yazışmalar gerçekleştirmiştir. 25 Ocak 2018 tarihinde WhatsApp ve çeşitli Facebook şirketleri ile Article 29 Çalışma Grubu katılımı ile gerçekleştirilen toplantıda yapılan önemli tespitlerle birlikte WhatsApp, Avrupa Birliği’ndeki kullanıcılarının verilerini Facebook Şirketlerine aktarma konusunda geri adım atmış ve 12 Mart 2018 tarihinde ICO’ya Avrupa Birliği (Birleşik Krallık dahil) kullanıcılarının verilerine ilişkin olarak şu taahhütlerde bulunmuştur[35]:
-
GDPR yürürlüğe girmeden WhatsApp kullanıcılarının verileri Facebook şirketlerine veri sorumlusundan veri sorumlusuna aktarım sonucunu doğuracak şekilde aktarılmayacaktır.
-
GDPR yürürlüğe girdikten sonra ancak hukuki sebep ve kullanıcıların bilgi alma hakkı dahil GDPR’ın tüm gerekliliklerine uygun olarak WhatsApp kullanıcı verileri Facebook şirketlerine veri sorumlusundan veri sorumlusuna aktarımı sonucunu doğuracak şekilde koruma ve güvenlik ya da diğer amaçlarla aktarılabilecektir.
-
GDPR yürürlüğe girdikten sonra WhatsApp kullanıcı verilerinin Facebook ürünlerinin geliştirilmesi ve reklamcılık amacıyla Facebook şirketlerine veri sorumlusundan veri sorumlusuna aktarımı sonucunu doğuracak şekilde aktarımı ancak GDPR’ın gereklilikleri uyarınca ve GDPR m. 56 uyarınca Yetkili Denetleyici Otorite ile görüşülerek gerçekleştirilebilecektir.
Bunun üzerine WhatsApp Gizlilik Politikası GDPR’ın yürürlüğe girmesinden çok kısa bir süre önce, 24.04.2018 tarihinde güncellenmiştir. Gizlilik Politikası’nda WhatsApp’in Avrupa Bölgesi kullanıcıları özelinde vermiş olduğu taahhüde uygun şekilde “Bugün Facebook, Facebook ürün deneyimlerinizi geliştirmek veya Facebook'ta sizin daha çok ilginizi çeken reklam deneyimleri sağlamak için WhatsApp hesap bilgilerinizi kullanmamaktadır.” ibaresi yer almaktadır[36]. İşte iki yıllık bu süreç ve Avrupa Birliği otoritelerinin WhatsApp üzerinde kurmuş olduğu baskı Avrupa Birliği ile dünyanın geri kalanında uygulanmakta olan metinlerin arasındaki farkı oluşturmuştur.
B. Türkiye’de Geçerli Olan Gizlilik Politikasında Yer Alan Veri Aktarımına İlişkin Açıklamaların Genel İlkeler Uyarınca Değerlendirilmesi
Ayrıntısıyla izah edildiği üzere Avrupa Bölgesi dışındaki ülkeler için geçerli olan metinde WhatsApp kullanıcılarının verilerinin Facebook’a aktarılmasına ilişkin olarak yapılan açıklamada 2016 yılından bu yana esaslı bir değişik olmamıştır[37]. Bu başlık altında öncelikle Türk hukukunda aydınlatma yükümlülüğünün yerine getirilmesine ilişkin olarak çizilen çerçeve genel hatları ile açıklanacak[38] akabinde ise mevcut Gizlilik Politikasında yer alan açıklamaların 6698 sayılı Kişisel Verilerin Korunması Kanunu[39] (“KVKK”) kapsamında aydınlatma yükümlülüğünün yerine getirilmesi bakımından genel ilkelere uygunluğu değerlendirilecek ve sonrasında 04.01.2021 tarihli güncelleme ile yapılan açıklamalar incelenecektir.
1. Aydınlatma Yükümlülüğü ve Genel İlkeler İlişkisi
Aydınlatma yükümlülüğü kapsamında ilgili kişiye sağlanacak olan bilgiler gerek kişinin verilerinin kontrolünü elde etmesi gerekse veri sorumlusunun genel ilkelere uygun bir şekilde veri işleyebilmesi adına önem teşkil etmektedir[40]. Bu kapsamda KVKK ve Aydınlatma Yükümlülüğü Tebliğ[41] ile detaylandırılan bu yükümlülüğün Anayasa kapsamında da güvence altına alındığının altını çizmek gerekecektir. İlgili kişinin bu bilgilendirilme hakkı kişisel verilerin elde edilme anında veri sorumlusuna bir yükümlülük olarak getirilmiştir. Bu yükümlülüğün yerine getirilmemesi halinde ise KVKK m. 18(1)(a) uyarınca veri sorumluları hakkında idari para cezası uygulanmaktadır.
Aydınlatma yükümlülüğü yerine getirilirken ilgili kişi ile paylaşılacak bilgilerin öz, şeffaf, anlaşılır, kolayca ulaşılabilir olması ve metnin basit, sade bir dille hazırlanmış olması şekli unsur gerekliliği iken bilgilendirmenin içeriği yükümlülüğün maddi unsurunu oluştur[42]. Aydınlatma yükümlülüğünün ihlali tek başına KVKK m. 18(1)(a) hükmüne göre para cezası uygulanmasını gerektirir. Bununla birlikte kişisel verilerin işlenmesine/aktarılmasına ilişkin amaçların ve hukuki sebeplerin ilgili kişi tarafından anlaşılabilir olmadığı bir aydınlatma metni, ayrıca kişisel verilerin açık rızaya dayalı olarak işlendiği hallerde açık rızanın bilgilendirmeye dayalı olma unsurunu sağlamayacağından veri işleme faaliyetini KVKK m. 18(1)(b) hükmüne göre hukuka aykırı hâle getirebilir. Aydınlatma metninde yer verilmesi gereken hususlar (maddi unsur) ise yine bu kapsamında önem taşımaktadır[43]. Bu bilgilerin tam ve gerçeğe uygun olması gerekmektedir. Öyle ki aydınlatma metninde bazı hususların tam ve gerçeğe uygun olmayacak şekilde açıklanması hukuka aykırı işleme sonucu yaratabilir. Örneğin, veri sorumlusunun kişisel veri işleme amacına ilişkin olarak dayandığı KVKK m. 5-6 hükümlerinde yer alan veri işleme şartlarının yanlış tespit edilmesi ya da ilgili kişiye yanlış veya hatalı ya da eksik olarak bildirilmesi ilgili kişinin yanıltılmasına yol açıyorsa dürüstlük kuralına aykırılık teşkil edecektir[44].
KVKK m. 10’da sayılan aydınlatma yükümlülüğünün içeriğine ilişkin hususlar Aydınlatma Yükümlülüğü Tebliğ’de aynen yer almış, bunların asgari içerik olduğu belirtilmiştir. Bir başka deyişle aydınlatma yükümlülüğüne ilişkin hükümler bir çerçeve çizerek asgari içeriği belirlemiştir. Ancak aydınlatma metinleri ile ilgili kişiye kişisel verilerinin kontrolünü verme ve ilgili kişinin kişisel verilerinin işlenmesinin sonuçları hakkında bilgi sahibi olmasını sağlama amacı güdüldüğünden bu açıklığı tesise yönelik ek bilgilerin metinlerde yer alması şeffaflığın sağlanması bakımından önemlidir[45]. Nitekim Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi’nde de verilen örneklerde örneğin işlenen kişisel verilerin de sayıldığı görülmektedir[46].
KVKK uyarınca veri sorumlusu tarafından gerçekleştirilen veri aktarımlarına ilişkin olarak aydınlatma metninde işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğinin belirtilmesi gerekmektedir. Aydınlatma metninde yer alan amaçların belirli, açık ve meşru olması gerekmektedir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. Bu gereklilik hem dürüstlük kuralına uygun olma hem de belirli, açık ve meşru amaçlar için işlenme ilkelerinin gereğidir. Öte yandan söz konusu aktarım amaçlarının hukuki sebeplerinin, KVKK m. 5 ve 6 uyarınca belirtilmesi gerekmektedir[47].
2. 25 Ağustos 2016’den Bugüne Whatsapp Facebook Arasındaki Veri Aktarımlarına İlişkin Politikaların Değerlendirilmesi
WhatsApp Gizlilik Politikasında Facebook’a aktarılacak verilere ilişkin açıklamalar “İştirakler” başlığı altında yer almaktadır. Bu bölümde Facebook Şirketleri ile kişisel verilerin paylaşılacağı belirtildikten sonra bu aktarımların amaçları örneklendirilerek sayılmış ancak hangi verilerin aktarıldığı[48] ve aktarımların hukuki sebebine[49] yer verilmemiştir. Aktarımların hukuki sebebine yer verilmemiş olması ve hangi verilerin hangi kapsamda ve amaçla aktarıldığının çerçevesinin çizilmemiş olması, Facebook’a gerçekleştirilen veri aktarımlarının veri sorumlusu-veri sorumlusu mu yoksa veri sorumlusu-veri işleyen ilişkisine mi dayalı olarak yapıldığının net olarak ifade edilmemesi; hukuka ve dürüstlük kurallarına uygun olma, belirli açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı görülebilir.
İş ve ekonomik modeli veri işlemeye dayalı veri sorumluları bakımından aydınlatma yükümlülüğü yerine getirilir iken yüksek şeffaflık beklentilerinin karşılanması gerektiği ifade edilebilecektir. Nitekim Fransız Veri Koruma Otoritesi CNIL’ın Google aleyhine vermiş olduğu 50.000.000 Euro idari para cezasına konu inceleme kapsamında[50] Google tarafından sunulan hizmet sayısının çok ve çeşitli olmasına rağmen yürütülen işleme faaliyetinin kullanıcılar için anlaşılır olmadığı, bilgilendirmenin açık ve kapsayıcı olmadığı, belirtilen veri işleme amaçlarının (“kişiselleştirilmiş reklam ve içerik hizmet sunma”, “ürün ve servislerin güvenliğinden emin olma”, “hizmetlerin sağlanması ve geliştirilmesi” vb.) oldukça basma kalıp ve geniş şekilde ifade edildiği ve kullanıcıların hukuki dayanağın veri sorumlusunun meşru menfaati değil de açık rızaları olduğunu anlayamadıkları tespiti yapılmıştır.
Bu tespit WhatsApp Gizlilik Politikası bakımından da dikkate alınabilir. İlgili bölümde hem WhatsApp’in hem de Facebook Şirketleri’nin hizmetlerinin sunulması, geliştirilmesi, özelleştirilmesi ve reklamcılık amacıyla söz konusu verilerin paylaşılarak her iki tarafça işlenebileceği oldukça geniş bir kapsamda ifade edilmiştir. Bu açıklamalar kişisel verilerin aktarılmasında ve işlenmesinde dayanılan hukuki sebebi ortaya koymadığından ilgili kişiler, verilerinin sözleşmenin kurulması ve ifası kapsamında mı yoksa WhatsApp ya da Facebook’un[51] meşru menfaatleri kapsamında mı işlendiğini anlamakta zorlanabilir yahut açık rızalarına dayalı bir aktarım var ise bunu tespit edemeyebilirler. Bu durum ise aydınlatma metni ile güdülen amaçların (şeffaflık ve ilgili kişinin verilerinin kontrolünü tesisi ile haklarını kullanmasına elverişli bir bilgilendirmeye sahip olması) yerine getirilmesi noktasında sorunlar yaratabilir.
3. 4 Ocak 2021 Tarihi Güncelleme ile Whatsapp Facebook Arasındaki Veri Aktarımlarına İlişkin Açıklamaların Değerlendirilmesi
4 Ocak 2021 tarihli güncelleme ile WhatsApp ile Facebook arasındaki veri aktarım amaçlarına WhatsApp platformu üzerinden işletmelere yönelik olarak sunulacak yeni hizmetler ve Facebook ile yapılacak entegrasyonların da eklendiği görülmektedir[52]. Öte yandan bir üst başlıkta incelenen ve ilgili politikada “İştirakler” başlığı altında yer alan açıklamaların “Diğer Facebook Şirketleri ile Nasıl Çalışırız” başlığına taşındığı görülmektedir. Bu bölümde farklı bir sayfaya yönlendirme yapılarak[53] Facebook Şirketleri ile paylaşılan bilgilerin açıklandığı görülmektedir. Ancak bu açıklama sınırlayıcı değildir[54].
4 Ocak 2021 tarihli güncelleme genel olarak özellikle Facebook’un bir hizmet sağlayıcı olarak işletmeler ve ödeme hizmetleri kapsamında yürüteceği veri işleme faaliyetlerini açıklamaktadır. Ancak yayınlanan güncel politika metninde yeterince açıklık olmadığından dünya genelinde tepki çeken bu güncelleme karşısında WhatsApp özellikle mesaj içeriklerinin, konum ve rehber bilgilerinin gizliliğinin devam ettiğine yönelik olarak ek açıklamalar yapmak zorunda kalmıştır[55]. Ancak bu açıklamalar sadece toplumdaki mesajların gizliliğine ilişkin endişelere cevap vermek ve yeni özelliklerin açıklanması ile sınırlı kalmış, 2016 yılından bu yana Avrupa Bölgesi dışında geçerli olan WhatsApp ve Facebook arasındaki veri aktarımlarının amaçlarının netleştirilmesini ve hukuki sebeplerinin ortaya konulmasını sağlayamamıştır. Örneğin Avrupa Bölgesinde bulunan kullanıcılar için açıklanmış olan “Facebook Şirketleriyle nasıl çalışıyoruz”[56] bilgilendirmesi WhatsApp ve Facebook arasındaki veri aktarımlarının kapsamını açıklığa kavuşturmaya çalışmaktadır. Ancak benzer bir metin Türkiye’deki kullanıcılar da dahil Avrupa Bölgesi dışında bulunan kullanıcılar bakımından geçerli değildir.
C. Türkiye’de Geçerli Olan Gizlilik Politikasında Yer Alan Veri Aktarım Amaçlarının Değerlendirilmesi
1. Whatsapp Tarafından Facebook’a Yapılan Veri Aktarımlarında Amaçlar ve Hukuka Uygunluk Sebepleri
WhatsApp’in Avrupa Bölgesi dışında sunduğu hizmetler açısından geçerli 25 Ağustos 2016 tarihli, 19 Aralık 2019 tarihli ve 29 Temmuz 2020 tarihli gizlilik politikalarında “Yasalar ve Bilgilerin Korunması” başlığı altında hukuka uygunluk sebeplerine yer verilmiştir. Buna göre WhatsApp’in işlemeye esas teşkil eden hukuka uygunluk sebepleri: “Şunlardan herhangi birinin makul oranda gerekli olduğuna iyi niyet çerçevesinde inanmamız durumunda bilgilerinizi toplayabilir, kullanabilir, saklayabilir ve paylaşabiliriz: (a) yürürlükteki yasa veya düzenlemelere göre[57], yasal işlemlere veya devlet taleplerine yanıt verilmesi; (b) potansiyel ihlallerin soruşturulması dahil olmak üzere, Koşullarımızın ve yürürlükteki diğer koşul ve ilkelerin uygulanması; (c) dolandırıcılık ve diğer yasadışı faaliyetlerin, güvenlik sorunlarının veya teknik sorunların tespit edilmesi, soruşturulması, önlenmesi ve çözülmesi veya (d) kullanıcılarımızın, WhatsApp'ın, Facebook şirketler ailesinin veya başkalarının haklarının, mülkiyetinin ve emniyetinin korunması” şeklinde ifade edilmiştir.
WhatsApp’in Avrupa Bölgesi dışında sunduğu hizmetler açısından geçerli 4 Ocak 2021 tarihli gizlilik politikasında: “Yasa, Haklarımız ve Koruma” başlığı altında ise benzer şekilde “Aşağıdakilerden herhangi birinin gerekli olduğuna iyi niyet çerçevesinde inanmamız durumunda Gizlilik İlkesinin yukarıdaki bu “Topladığımız Bilgiler” kısmında açıklanan bilgilerinize erişir, bu bilgilerinizi muhafaza eder ve paylaşırız: (a) yürürlükteki yasa veya düzenlemeler çerçevesinde[58], yasal işlemlere veya devlet taleplerine yanıt verilmesi; (b) potansiyel ihlallerin soruşturulması dahil olmak üzere, Koşullarımızın ve yürürlükteki diğer koşul ve ilkelerin uygulanması; (c) dolandırıcılık ve diğer yasa dışı faaliyetlerin, güvenlik sorunlarının ve teknik sorunların tespit edilmesi, soruşturulması, önlenmesi ya da çözülmesi veya (d) ölüm ve muhtemel bedensel yaralanmaları önlemek dahil olmak üzere kullanıcılarımızın, WhatsApp’ın, diğer Facebook Şirketlerinin veya başkalarının haklarının, mülkiyetinin ve güvenliğinin korunması”[59] düzenlemesi yer almaktadır[60].
WhatsApp’in 2016 yılında güncellenen gizlilik politikası incelendiğinde, Facebook ile veri paylaşımında temelde üç amacın bulunduğu söylenebilecektir. WhatsApp’in veri sorumlusu olarak Facebook’a, iş değerlendirmesi, sistem güvenliğinin sağlaması, Facebook ürünlerinin geliştirilmesi ve reklamcılık amaçlarıyla aktarım yapabileceği anlaşılmaktadır. Bu husus Facebook’a yönelik veri aktarımlarına ilişkin olarak WhatsApp tarafından ICO’ya verilen taahhütnameden de anlaşılmaktadır[61].
ICO’nun görüşüne göre 2016 yılında güncellenen gizlilik politikasında belirtilen şekli ile WhatsApp’in veri sorumlusu olarak Facebook’a veri aktarması, veri koruma ilkeleri açısından bazı ihlallerin ortaya çıkmasına yol açabilecektir. ICO’ya göre, WhatsApp tarafından bu aktarımların hukuki sebebi belirtilmediği gibi, aktarıma ilişkin yeter derece bilgi kullanıcılara sunulmuş değildir. Halihazırdaki kullanıcılar açısından ise sonraki kullanım amacı olarak ortaya çıkan bu amaçlar ilk kullanım amacına uygun değildir. Bu açıdan veri koruma hukukuna ilişkin birtakım ihlaller söz konusu olabilecektir[62]. Yapılan bu değerlendirmeler neticesinde izah edildiği şekliyle WhatsApp tarafından ICO’ya verilen taahhütnamede veri aktarım amaçlarının sınırlandırıldığı ve belirli şartlara bağlandığı görülmektedir. Bu Taahhüdü takiben 24 Nisan 2018 tarihinde Avrupa Bölgesi için gizlilik politikasını güncelleyen WhatsApp hem veri aktarım amaçlarını kısmen sınırlandırmış hem de hukuka uygunluk sebeplerini belirtmiştir.
Öte yandan WhatsApp’in 25 Ağustos 2016 tarihli Gizlilik Politikasında yer alan veri sorumlusu olarak Facebook’a yaptığı aktarımlara ilişkin üçlü ayrım, Türkiye’de uygulanan WhatsApp gizlilik politikasında halen yer almaktadır. Zira Türkiye’de 2016 yılından bu yana uygulanan gizlilik politikalarında bulunan Facebook’a aktarım amaçları, 2021 politikasında da muhafaza edilmiştir[63].
Bu çalışmada WhatsApp gizlilik politikalarında yer alan Facebook’a aktarım hükümlerinin hukuka uygunluk sebebi değerlendirilmesinde, Türkiye’de uygulanan WhatsApp gizlilik politikalarında belirtilmemiş olan üç hukuka uygunluk hali dikkate alınmıştır. Bunlar; KVKK m. 5(1) hükmüne göre “açık rıza”, KVKK m. 5(2)(c) hükmüne göre “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve KVKK m. 5(2)(f) hükmüne göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu” olması hukuka uygunluk sebepleridir. Ayrıca Facebook’a yapılan aktarımın yurtdışına aktarım sayılıp sayılmayacağı tartışmasına yer verilmeden, aktarımın hukuka uygunluk sebebi KVKK m. 5 hükmüne göre değerlendirilmiştir.
a. Meşru Menfaat
24 Nisan 2018 tarihinde Avrupa Bölgesi için gizlilik politikasını güncelleyen WhatsApp “How We Process Your Information (Verilerinizi nasıl işliyoruz)” başlığı altında hukuka uygunluk sebeplerine yer verilmiştir. WhatsApp tarafından Facebook Şirketlerinin ürünlerinin ve WhatsApp hizmetlerinin zararlı ya da uygunsuz içerikten arındırılmış olarak sağlamak, Facebook Şirketi Ürünlerinin yetkisiz kullanımını tespit etmek ve önlemek, sistemleri korumak ve spam, tehdit, kötüye kullanım veya ihlal davranışlarıyla mücadele etmek ve Facebook Şirketi Ürünlerinde emniyeti ve güvenliği artırmak, Facebook Şirketi Ürünlerinin tanıtımını yapmak ve doğrudan pazarlama iletişimleri göndermek olarak belirlenen amaçların hukuka uygunluk sebepleri meşru menfaat olarak ifade edilmiştir. 4 Ocak 2021 tarihli gizlilik politikasında da “Verileri İşlemek İçin Yasal Dayanağımız” başlığı altında hukuka uygunluk sebepleri benzer şekilde düzenlenmiştir. Öte yandan hukuka uygunluk sebeplerine ilişkin bu açıklamalar Türkiye’nin de içinde bulunduğu Avrupa Bölgesi dışında geçerli gizlilik politikasında yer almamaktadır.
Bu kapsamda sistem güvenliğinin sağlaması veya iş süreçlerinin analizi amaçları ile veri sorumlusu olarak Facebook’a aktarım yapılması halinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuka uygunluk sebebinin uygulanması için ICO ve Article 29 Çalışma Grubu tarafından ifade edilmiş hususların dikkate alınması Türk hukuku açısından da mümkündür[64]. Dolayısıyla WhatsApp’in meşru menfaatini ve meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerine zarar vermediğini açık bir şekilde ortaya koyabilmesi gerekecektir[65]. Bu açıdan işlemenin kapsamı hakkında ilgili kişilerin açık bir şekilde bilgilendirilmiş olmaları, WhatsApp hizmetlerini kullanıp kullanmamak hususunda bilgilendirilmiş olarak karar vermelerinin sağlanması da gerekir[66]. Bunun dışında veri minimizasyonu, takma ad kullanımı gibi yeterli önlemlerin alınıp alınmadığı hususu göz önüne alınabilir[67]. Meşru menfaate ilişkin yapılacak değerlendirmenin bu iki işleme amacı açısından ayrı ayrı yapılması daha yerinde olacaktır. Son olarak belirtmek gerekir ki KVKK m. 5(2)(f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gereklidir. Bu bendin kapsamı 95/46/AT sayılı Yönerge m. 7(f)’nin ve GDPR m. 6(1)(f)’nin kapsamından daha dardır. KVKK m. 5(2)(f) bendinde, sadece veri sorumlusunun meşru menfaatinden bahsedilmiş olmakla, veri sorumlusu dışında verinin açıklandığı üçüncü kişi/kişilerin meşru menfaati de kapsam dışında bırakılmıştır[68].
b. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması
Bir uygulamanın kullanılmasının ya da hizmetin sağlanmasının kişisel verilerin işlenmesi şartına bağlanması veri koruma hukukunda tartışmalı bir meseledir. Veri sorumlusunun özellikle karşı edim olarak verinin belirlendiği sözleşmeler açısından açık rıza hukuka uygunluk sebebine başvurmadan önce sözleşmenin kurulması ya da ifası için doğrudan doğruya sözleşmenin taraflarına ait bir veri işleme faaliyetinde bulunup bulunmadığının ayrıca başkaca bir hukuka uygunluk sebebinin bulunup bulunmadığının belirlemesi gereklidir. Bu kapsamda öncelikle bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması hukuka uygunluk sebebi incelendikten sonra açık rıza hukuka uygunluk sebebi üzerinde durulacaktır.
“Ücretsiz” hizmetler açısından ilgili kişi tarafından sağlanan kişisel veriler sözleşmenin konusunu oluşturabilirler. Uygulamada kişisel veri sağlanmadığında hizmetin ya sunulmadığı ya da bir ücret karşılığında sunulduğu görülmektedir. WhatsApp’in 25 Ağustos 2016 tarihli ve 28 Ocak 2020 tarihli Hizmet Koşullarında “Uygulamamızı yükleyerek, uygulamamıza erişerek veya uygulamalarımızı, hizmetlerimizi, özelliklerimizi, yazılımlarımızı ya da İnternet sitemizi (toplu olarak "Hizmetler") kullanarak Hizmet Koşullarımızı ("Koşullar") kabul etmiş olursunuz” ifadesine, 4 Ocak 2021 tarihli hizmet koşullarında “Uygulamalarımız, hizmetlerimiz, özelliklerimiz, yazılımlarımız veya İnternet sitemiz aracılığıyla Hizmetlerimizi sağlayabilmemiz için, Hizmet Koşullarımızı (“Koşullar”) kabul etmeniz gerekmektedir” ifadesine yer verilmiştir. WhatsApp Hizmet Koşullarında yer alan bu hüküm hizmet koşullarının bir parçası olan gizlilik politikalarını da kapsar niteliktedir. Bu açıdan söz konusu hizmet koşulu kapsamında reklamcılık amacıyla veri işlenmesi karşılığında WhatsApp hizmetinin sunulduğu ve bu amacın KVKK m. 5(2)(c) hükmüne dayandırıldığı akla gelebilir.
Zira bir fikre göre, hizmetin karşılığının veri olduğu sözleşmeler açısından rızanın özgür iradeye dayanmasından ziyade sözleşme özgürlüğü çerçevesinde bir değerlendirme yapılması gereklidir. Sözleşmenin kurulması ya da ifası için gerekli olan veriler, sözleşmesel ilişki içerisinde asli edim yükümlülüğünü oluşturuyorsa, sözleşmenin ifası için gerekli veri işlemeden söz edilmelidir[69]. Ancak hizmetin kişisel veri karşılığı sunulduğunun ilgili kişi açısından yeter derecede açık olması gerekir[70]. Tarafların açıkça sözleşme sınırları içerisinde belirlenmiş işleme amaçlarıyla sözleşmenin konusu haline getirdikleri veriler, sözleşmenin ifası için gerekli verilerdir. Ne var ki WhatsApp hizmet koşulları ve gizlilik politikaları birlikte incelendiğinde, WhatsApp hizmetinin Facebook’a veri aktarımı karşılığı sunulduğunun ilgili kişi açısından yeter derecede açık olduğunu söylemek güç görünmektedir.
Öte yandan Article 29 Çalışma Grubuna göre, sözleşmenin taraflarına ait verilerin işlenmesi hükmü katı şekilde yorumlanmalıdır. Veri sorumlusu tarafından tek taraflı olarak ilgili kişiye dayatılan ve gerçekten sözleşmenin ifası için gerekli olmayan veriler bu hukuka uygunluk sebebine göre işlenemeyecektir. Ayrıca bazı veri işleme faaliyetlerinin sözleşme kapsamında olması, işlemenin sözleşmenin ifası için zorunlu veri işleme sayılmasını gerektirmeyecektir. Article 29 Çalışma Grubu tarafından verilen örnekte bir kişinin ilgili kişinin satın aldığı ürünler ve siteyi kullanım şekli üzerinden, hayat tarzı tercihlerinin ve zevklerinin profillenmesinin sözleşmenin ifası için gerekli veri işleme faaliyeti olarak görülemeyeceği ifade edilmiştir[71].
c. Açık Rıza
WhatsApp hizmet koşullarının “kabul et” düğmesine basılarak kabul edilmesinin, KVKK m. 3(1)(a) kapsamında açık rıza olarak değerlendirilip değerlendirilmeyeceği ayrıca dikkate alınması gereken bir husustur.
KVKK m. 3(1)(a) bendine göre açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. İlk olarak rızanın belirli bir konuya ilişkin olma gerekliliği bakımından ICO tarafından yapılan incelemede iş süreçleri analizi, sistem güvenliğinin sağlaması amaçlarına ilişkin rızanın WhatsApp’in gizlilik politikaları ve hizmet koşullarının bütününe atıfla verilmesi nedeniyle bu amaçlar oldukça genel bulunmuştur[72]. İkinci olarak rızanın bilgilendirmeye dayanması gerekmektedir. Bu kapsamda ICO tarafından ifade edildiği üzere 25 Ağustos 2016 tarihli hizmet koşullarının kabul edilmesine ilişkin ilk katmanda çıkan metinde WhatsApp tarafından Facebook’a aktarım yapılacağı hiç belirtilmemiştir[73]. Bu açıdan 4 Ocak 2021 tarihli hizmetkoşulları ve gizlilik politikası güncellemesinde bilgilendirmeye ilişkin ilk katmanda, WhatsApp hizmet koşullarının güncellendiği, önemli güncellemelerin, Facebook ile yapılan ortaklıkla Facebook şirket ürünleri arasında entegrasyonu nasıl sağlandığını, WhatsApp konuşmalarının yönetimi ve saklanması için işletmelerin Facebook tarafından sağlanan hizmetleri ne şekilde kullanabileceklerini kapsadığı belirtilmektedir. 2021 tarihli gizlilik politikası ve hizmet koşullarına ilişkin ekranda görüntülenen bilgilendirmenin ilk katmanında Facebook’tan bahsedilmiş olmakla birlikte, ilk katmanda yapılan bilgilendirmenin 2016 yılından bu yanda gerçekleşmiş olması muhtemel aktarımlara ilişkin olup olmadığı da değerlendirilmelidir. Ayrıca gizlilik politikasının ikinci katmanında işlenen veriler, amaçlar gibi hususların yeter derece belirlenmiş olması da gerekli olacaktır[74].
Rızanın geçerli olabilmesi için özgür iradeye dayanması gereklidir. WhatsApp’in 25 Ağustos 2016 tarihli ve 28 Ocak 2020 tarihli hizmet koşullarında “Uygulamamızı yükleyerek, uygulamamıza erişerek veya uygulamalarımızı, hizmetlerimizi, özelliklerimizi, yazılımlarımızı ya da İnternet sitemizi (toplu olarak "Hizmetler") kullanarak Hizmet Koşullarımızı ("Koşullar") kabul etmiş olursunuz” ifadesine, 4 Ocak 2021 tarihli hizmet koşullarında: “Uygulamalarımız, hizmetlerimiz, özelliklerimiz, yazılımlarımız veya İnternet sitemiz aracılığıyla Hizmetlerimizi sağlayabilmemiz için, Hizmet Koşullarımızı (“Koşullar”) kabul etmeniz gerekmektedir” ifadesine yer verilmiştir. Ayrıca yine 4 Ocak 2021 tarihli hizmet koşullarına atıf yapıldığı ilk katmanda da 8 Şubat 2020 tarihinden sonra WhatsApp’i kullanabilmek için hizmet koşullarının kabul edilmesi gerektiği ifadesine yer verilmiştir.
Belirtmek gerekir ki 25 Ağustos 2016 tarihli hizmet koşulları ve gizlilik politikasında WhatsApp tarafından halihazırdaki kullanıcılara bir opt–out imkânı tanınmıştır. Bir başka deyişle söz konusu politikanın yürürlüğe girmesinden itibaren 30 gün içerisinde Facebook ile veri paylaşımının devre dışı bırakılmasını tercih imkânı tanınmıştır (opt-out)[75]. Öte yandan bu imkân sadece halihazırdaki kullanıcılara ve sadece reklamcılık amacıyla aktarım için sunulmuş bir imkândır. Yeni kullanıcıların opt-out seçeneğini kullanarak reklamcılık amacıyla Facebook’a veri aktarımını durdurmaları mümkün değildir. Hiçbir kullanıcının iş süreçleri analizi ve sistem güvenliği amaçları için veri sorumlusu olarak Facebook’a yapılan aktarımları durdurma imkânı bulunmamaktadır[76]. Yukarıda açıkladığımız üzere benzer düzenlemelere WhatsApp’in daha sonraki tarihli hesap ve gizlilik politikalarında da yer verdiği anlaşılmaktadır. Ancak 4 Ocak 2021 tarihli hizmet koşullarında ve gizlilik politikasında WhatsApp tarafından halihazırdaki kullanıcılara bir opt-out imkânı tanınmamıştır.
GDPR m. 4 (11) bendine göre belirtinin bir beyan ya da açık onaylayıcı bir eylem (clear affirmative action) ile gerçekleşmesi gerekmektedir. Anayasa m. 20(3) hükmüne göre “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir”. Görüldüğü üzere Anayasa m. 20(3) hükmüne göre kişisel verilerin işlenmesi ancak ilgilinin açık rızası ile mümkün olacaktır. KVKK m. 5(1) ve KVKK m. 6(2) hükümlerine göre de kişisel verileri işlenmesi ancak ilgili kişinin açık rızası varsa mümkündür. Bu açıdan opt-out imkânı tanınmasının (hareketsiz kalmanın-susmanın) Türk Hukuku açısından geçerli bir rıza beyanı olup olmadığının tespiti de önem taşımaktadır[77].
GDPR m. 7 (4) hükmüne göre, rızanın özgür irade ile verilmiş olması değerlendirmesinde, başkaca hususların yanı sıra hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının, sözleşmenin ifası için gerekli olmayan kişisel verilerin işlenmesine rıza şartına bağlanıp bağlanmadığı hususuna azami dikkat gösterilmelidir. Genellikle hükmün “mutlak bir yasak” değil “görece yasak” getirdiği kabul edilmektedir[78]. Bu noktada özgür iradenin hangi koşullar altında var olacağına ilişkin farklı yaklaşımlar mevcuttur[79].
Article 29 Çalışma Grubu tarafından hizmet sağlayıcının başka bir hizmet sağlayıcından eşdeğer hizmetin elde edilebileceğinin, ilgili kişinin bir seçim hakkına sahip olduğunun ileri sürmesinin mümkün olmadığı ifade edilmiş[80] ve hâkim durumun sınırlandırılması olarak nitelendirilebilecek bu yaklaşım esas alınmamıştır. İkinci olarak aynı hizmet sağlayıcının kişisel veri işleme şartına bağlı olmadan eşdeğer hizmeti sunması halinde, rızanın özgür irade ile verilmiş olduğu düşünülebilir[81]. Bu kapsamda esas alınacak yaklaşıma göre ilgili kişinin özgür iradesinin etkilenip etkilenmediği de değerlendirilebilecek hususlardan biridir.
Son olarak iş süreçlerinin analizi, sistem güvenliğinin sağlaması, Facebook ürünlerinin geliştirilmesi ve reklam amaçlarıyla veri sorumlusu olarak Facebook’a aktarım yapılacağı WhatsApp’in Türkiye’de uygulanan gizlilik politikalarında ya da hizmet koşullarında yer alan hükümler olarak karşımıza çıkmaktadır. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ m. 5(1)(f) bendine göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir”[82]. Bu açıdan Facebook’a aktarım için alınacak açık rızaların aydınlatma metninden ayrı bir metinde yer almaması Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ m. 5(1)(f) hükmüne aykırı görülebilir.
Sonuç
WhatsApp’in 04.01.2021 tarihinde Gizlilik Politikasında yaptığı güncelleme tüm dünyada özellikle Facebook aktarım açısından gündem olmuştur. Ancak Avrupa Bölgesi dışında yer alan ülkeler için geçerli olan gizlilik politikaları incelendiğinde Facebook ile veri paylaşımına ilişkin hükümlerin esasında 25.08.2016 tarihinden itibaren WhatsApp gizlilik politikasında yer aldığı görülmektedir. 25.08.2016 tarihli Gizlilik Politikası, Avrupa Bölgesi dahil WhatsApp’in tüm hizmet sunduğu ülkelerde geçerli olacak şekilde güncellenmiştir. Bu politika Avrupa Birliğinde Veri Koruma Otoritelerinin dikkatini çekerek çeşitli soruşturmalara sebebiyet vermiş ve 2 senelik bir sürecin sonunda WhatsApp 24.04.2018 tarihli Gizlilik Politikası güncellemesini Avrupa Bölgesi için gerçekleştirmiştir. Bu tarihten sonra da Avrupa Bölgesinde geçerli olan-olacak Gizlilik Politikaları ile diğer ülkeler için geçerli olan-olacak Gizlilik Politikaları farklılık arz etmeye başlamıştır. Nitekim inceleme konusu 04.01.2021 tarihli Gizlilik Politikası da Avrupa Bölgesi ve diğer ülkeler için farklı politikalar olarak hazırlanmıştır.
Bu çalışma kapsamında 04.01.2021 tarihli ve Avrupa Bölgesi dışındaki ülkelerde geçerli olacak Gizlilik Politikası, Avrupa’daki Veri Koruma otoritelerinin 25.08.2016 tarihli Gizlilik Politikasını ele alış esasları, vardıkları sonuçlar ışığında değerlendirmeye tabi tutulmuştur. Bu kapsamda 25.08.2016 tarihli Gizlilik Politikası, (1) aydınlatma yükümlülüğü gereklerine uygun olup olmadığı; (2) WhatsApp’in Facebook’a veri aktarmasının amaçları ve aktarımın hukuki sebebinin-dayanağının ne olduğu kapsamında Avrupa Veri Koruma Otoriteleri tarafından incelemeye tabi tutulmuştur. 04.01.2021 tarihli Türkiye için de geçerli olacak Gizlilik Politikası da (1) WhatsApp’in aydınlatma yükümlülüğünün gereklerine uygun davranıp davranmadığı; (2) WhatsApp’in Facebook ile veri paylaşım amaçları (iş değerlendirmesi, sistem güvenliğinin sağlaması, Facebook ürünlerinin geliştirilmesi ve reklamcılık) ve bu aktarıma dayanak teşkil edebilecek hukuka uygunluk sebepleri (meşru amaç, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olma, açık rıza) çerçevesinde değerlendirilmiştir.
Dipnotlar
WhatApp-Güvenlik, (çevrimiçi, https://www.WhatsApp.com/security/ -17.01.2021). ↩︎
Bu ifadenin kapsamı için bkz. çevrimiçi, https://faq.whatsapp.com/general/security-and-privacy/the-facebook-companies-17.01.2021. ↩︎
İtalyan veri Koruma otoritesi tarafından yapılan duyuru için bkz. (çevrimiçi, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9519943#english_version - 17.01.2021) ↩︎
“…More than 100,000 users installed Signal across the app stores of Apple and Google in the last two days, while Telegram picked up nearly 2.2 million downloads, according to data analytics firm Sensor Tower” (çevrimiçi, https://www.reuters.com/article/us-WhatsApp-users/signal-telegram-see-demand-spike-as-new-WhatsApp-terms-stir-debate-idUSKBN29D1TY?utm_source=aposto -17.01.2021). ↩︎
Bkz. çevrimiçi, https://www.milligazete.com.tr/haber/6058537/turkcell-bipin-3-gunluk-indirilme-sayisini-acikladi -17.01.2021. ↩︎
“Rekabet Kurulu’nun 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında Facebook Inc., Facebook Ireland Ltd., WhatsApp Inc. ve WhatsApp LLC (hepsi birlikte “Facebook” olarak anılacaktır) hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edip edilmediğinin tespiti amacıyla resen soruşturma açılmıştır.” Çevrimiçi, https://www.rekabet.gov.tr/tr/Guncel/rekabet-kurulu-facebook-ve-whatsapp-hakk-14728ae4f653eb11812700505694b4c6 -17.01.2021. ↩︎
12.01.2021 tarihli kamuoyu duyurusu için bkz. çevrimiçi, https://kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU -17.01.2021. ↩︎
Söz konusu bölgede yer alan ülkeler şu şekilde sayılmıştır: “Almanya, Andorra, Avusturya, Azorlar, Belçika, Birleşik Krallık, Bulgaristan, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Fransız Guyanası, Guadeloupe, Hırvatistan, Hollanda, İrlanda, İspanya, İsveç, İsviçre, İtalya, İzlanda, Kanarya Adaları, Kıbrıs Cumhuriyeti, Kıbrıs’taki Birleşik Krallık egemenlik bölgeleri (Ağrotur ve Dikelya), Letonya, Lihtenştayn, Litvanya, Lüksemburg, Macaristan, Maderia, Malta, Man Adası, Manş Adaları, Martinique, Mayotte, Monako, Norveç, Polonya, Portekiz, Réunion, Romanya, Saint-Martin, San Marino, Slovakya, Slovenya, Vatikan ve Yunanistan”. (çevrimiçi, https://faq.whatsapp.com/general/security-and-privacy/who-is-providing-your-whatsapp-services?lang=tr -17.01.2021). ↩︎
Avrupa Bölgesinde geçerli olmuş politika için bkz. Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy-eea/revisions/20160825 -17.01.2021; Avrupa bölgesi dışında geçerli olmuş politika için bkz. çevrimiçi, https://www.whatsapp.com/legal/privacy-policy/revisions/20160825 -17.01.2021 (Metinde vurgulanmak istenen kısım yazarlar tarafından koyu ile işaretlenmiştir). ↩︎
WhatsApp’in hali hazırdaki kullanıcılarının 25.09.2016 tarihine kadar Facebook ürünleri ve reklamlara ilişkin Facebook’a veri aktarımı hususunda opt-out imkanları olduğu yönünde bkz. çevrimiçi, https://www.oaic.gov.au/updates/news-and-media/whatsapp-users-have-30-days-to-opt-out-of-information-sharing-with-facebook/ -30.01.2021. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy-eea -17.01.2021. ↩︎
Yazarlar tarafından koyu ile işaretlenmiştir.. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy-eea -17.01.2021. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy-eea?eea=1 -30.01.2021 (Metinde vurgulanmak istenen kısım yazarlar tarafından koyu ile işaretlenmiştir). ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy/revisions/20191219 -17.01.2021. ↩︎
Güncellemeyi konu alan haberde işaret edildiği üzere uygulamanın içerisinde yer alan düğme ile Facebook şirketlerine veri aktarımının durdurulması mümkündür. Ancak kullanıcıların bunun için 30 günlük bir süresi vardır. Bkz. Çevrimiçi, https://www.gadgetsnow.com/how-to/how-to-stop-whatsapp-from-sharing-your-data-with-facebook/articleshow/63766022.cms -17.01.2021. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy?lang=en -17.01.2021. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/privacy-policy?lang=en -17.01.2021. ↩︎
Avrupa Bölgesinde geçerli politika için bkz. çevrimiçi, https://www.whatsapp.com/legal/updates/terms-of-service-eea -17.01.2021. Diğer ülkelerde yer alan politika için bkz. https://www.whatsapp.com/legal/updates/terms-of-service -17.01.2021. ↩︎
Çevrimiçi, https://blog.whatsapp.com, 29.01.2021. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/updates/privacy-policy-eea?lang=en -17.01.2021 (Metinde vurgulanmak istenen kısım yazarlar tarafından koyu ile işaretlenmiştir). ↩︎
Yazarlar tarafından koyu ile işaretlenmiştir ↩︎
Bu ifade yazarlar tarafından eklenmiştir. ↩︎
Bu ifade yazarlar tarafından eklenmiştir. ↩︎
“Onların hizmetleri” ifadesi 04.01.2021 tarihinde Avrupa Bölgesi için getirilen politikadan çıkarılmıştır. ↩︎
24.04.2018 tarihinde Avrupa Bölgesi için getirilen politikadan çıkarılmıştır. ↩︎
Çevrimiçi, https://www.whatsapp.com/legal/updates/privacy-policy -17.01.2021 (Metinde vurgulanmak istenen kısım yazarlar tarafından koyu ile işaretlenmiştir). ↩︎
Hamburgisches Oberverwaltungsgericht, 24 Nisan 2017, 5 Bs 93/17 13 E 5912/16, çevrimiçi, https://justiz.hamburg.de/contentblob/10550494/b44bb36b8a80f26829e241bce402bec5/data/5bs93-17.pdf 19.01.2021. ↩︎
çevrimiçi, https://www.cnil.fr/sites/default/files/atoms/files/20161027_letter_of_the_chair_of_the_art_29_wp_whatsapp.pdf 19.01.2021. ↩︎
Belirtelim ki 16.02.2018 tarihli ICO tarafından WhatsApp’e gönderilen yazıda veri aktarımının sadece reklamcılık faaliyetleri kapsamında durdurulmuş olduğunun anlaşıldığı ifade edilmiştir (ICO, 18 Şubat 2018 tarihli yazı, s. 3, Çevrimiçi, https://ico.org.uk/media/2258375/whatsapp-letter-20180216.pdf 19.01.2021.). Buna karşın WhatsApp tarafından 12 Mart 2018 tarihinde imzalanan taahhütnamede 04.02.2018 tarihinde Article 29 Çalışma Grubu ile yapılan toplantıda her üç amaç için de veri sorumlusundan veri sorumlusuna aktarıma dayalı bir faaliyet yürütülmediğinin ifade edildiği belirtilmiştir (WhatsApp Taahhütname s. 5, çevrimiçi, https://ico.org.uk/media/action-weve-taken/undertakings/2258376/whatsapp-undertaking-20180312.pdf 19.01.2021). ↩︎
çevrimiçi, https://www.reuters.com/article/us-whatsapp-privacy-france/french-privacy-watchdog-raps-whatsapp-over-facebook-data-sharing-idUSKBN1EC285 19.01.2021 ↩︎
Article 29 Çalışma Grubu, 24 Ekim 2017 tarihli yazı, çevrimiçi, https://ico.org.uk/media/2258374/whatsapp-facebook-a29-letter-20180314.pdf 19.01.2021. ↩︎
Almanya’da da veri koruma otoritesi haricinde Facebook’un veri toplama ve veri birleştirme faaliyetleri rekabet otoritesi tarafından da inceleme konusu edilmiştir. 3 yıl süren bu soruşturma sonunda Facebook’un veri toplama ve işleme uygulamalarının GDPR’a aykırı olduğu gerekçesiyle hâkim durumun kötüye kullanılması teşkil ettiği tespit edilmiştir. (6 Şubat 2019 tarihli karara ulaşmak için bkz 6. Beschlussabteilung B6-22/16, Verwaltungsverfahren VerfüGung Gem. § 32 ABS. 1 GWB – Öffentliche Version, çevrimiçi, https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=8 19.01.2021). Belirtelim ki bu soruşturma sadece WhatsApp ve Facebook arasındaki veri aktarımlarını değil daha geniş anlamda Facebook tarafından kullanılan pek çok veri toplama kanalını kapsamaktadır. Rekabet otoritesi Facebook aleyhine para cezasına hükmetmezken Facebook’un mevcut hizmet şartlarında, kullanım ayarlarında değişiklik yapmasına karar vermiştir. Facebook karara karşı Düsseldorf Yüksek Bölge Mahkemesinde itiraz ederken yürütmeyi durdurma talebinde bulunmuş ve yürütmeyi durdurma talebi 26 Ağustos 2019’da kabul edilmiştir. Bunun üzerine yargılama devam ederken yürütmeyi durdurma kararı Alman Federal Adalet Mahkemesi tarafından 23 Haziran 2020 tarihinde kaldırılmıştır. KVR 69/19, çevrimiçi, http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=109506 -30.01.2021. ↩︎
Avrupa Komisyonu basın açıklaması için bkz. çevrimiçi, https://ec.europa.eu/commission/presscorner/detail/en/IP_17_1369 19.01.2021. ↩︎
WhatsApp Taahhütname, s. 7-8. ↩︎
Hemen belirtelim ki 24.04.2018 tarihli politika da bütünüyle sorunsuz değildir. Nitekim İrlanda Veri Koruma Otoritesi nezdinde Whatsapp Gizlilik Politikasının GDPR m. 12 ve 14 uyarınca soruşturulması devam etmektedir. Çevrimiçi, https://www.dataprotection.ie/en/news-media/press-releases/irish-dpc-submits-article-60-draft-decision-inquiry-twitter-international 31.01.2021. ↩︎
04.01.2021 tarihli güncellemede “Esasında Facebook, WhatsApp mesajlarınızı Hizmetlerimizi işletmemize ve sağlamamıza yardımcı olmak dışında herhangi bir amaçla kullanmayacaktır.” cümlesinin Gizlilik Politikasından çıkarılması dikkat çekicidir. ↩︎
Avrupa Birliği ve Türk Hukukunda Aydınlatma yükümlülüğü hakkında detaylı bilgi için bkz. Şehriban İpek Aşıkoğlu, “Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk Hukukunda-”, Kişisel Verileri Koruma Dergisi, 1(1), 2019, s. 41-65. ↩︎
RG 07.04.2016/29677. ↩︎
Aydınlatma yükümlülüğünün, ilgili kişi hakları açısından bir “Magna Charta” niteliği taşıdığı yönünde bkz. Çekin, N. 370. ↩︎
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliğ”), RG 10.03.2018/30356. ↩︎
Çekin, N. 166. ↩︎
KVKK m. 10 uyarınca “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.” ↩︎
Nafiye Yücedağ, “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler” Kişisel Verileri Koruma Dergisi, 1(1), 2019, s. 50. Veri sorumlusunun diğer hukuka uygunluk sebeplerinin varlığı hallerinde yine de ilgili kişinin açık rızasına dayalı olarak veri işleme faaliyetini gerçekleştirmesinin başlı başına hukuka aykırılık teşkil etmediği, hukuka ve dürüstlük kuralına aykırılığın ancak açık rıza geri alındığında diğer hukuka uygunluk sebeplerine başvurulması anından itibaren söz konusu olacağı yönünde bkz. Çekin, N. 213. Bu ana kadar doğru hukuka uygunluk sebebi gösterilmediğinde sadece aydınlatma yükümlülüğünün ihlal edildiği sonucuna varılabilir. ↩︎
Aydınlatma yükümlülüğünün temelinde şeffaflık ilkesi yer almaktadır. 95/46/AT sayılı Yönerge’de açıkça genel ilkeler arasında sayılmamış olan şeffaflık ilkesine Yönerge’nin yürürlük döneminde de Avrupa Birliği Adalet Divanı kararlarında vurgu yapılmakta idi (AAD, C‑553/07, par. 9, 60). GDPR m. 5(1)(a)’da sayılarak genel ilkeler arasında yer alan şeffaflık ilkesi GDPR’da açıkça tanımlanmamıştır. Ancak giriş bölümü 39. paragrafta şeffaflık ilkesi açıklanırken veri sorumlusu tarafından sunulan şeffaflığın ilgili kişi nezdinde sonuç doğurmasının beklendiğine işaret edilmiştir. Şeffaflık ilkesi ve gerekliliklerinin yorumunda bir madde hükmünden ise somut olay ve ilgili kişi önem taşımaktadır (Article 29 Çalışma Grubu, Guidelines on Transparency under Regulation 2016/679, WP260 rev.01, 2018). Kişisel Verilerin Korunması Kanunu kapsamında açıkça belirtilmeyen şeffaflık ilkesinin adil olma (dürüstlük kuralına uygun olma) ilkesinin bir görünümü olduğu kabul edilmektedir, Murat Develioğlu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, İstanbul, 2017, s. 45; Yücedağ, 2019, 52). ↩︎
Kişisel Verileri Koruma Kurumu, Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, Nisan 2019, Ankara, s. 18, çevrimiçi, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf 23.01.2021. ↩︎
bkz. Kişisel Verileri Koruma Kurulunun Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08.10.2020 Tarihli ve 2020/765 Sayılı Karar Özeti, çevrimiçi, https://kvkk.gov.tr/Icerik/6844/2020-765 23.01.2021. ↩︎
Söz konusu Gizlilik Politikasında “Topladığımız Bilgiler” başlığı altında WhatsApp hizmetlerinin yürütülmesi ve sunulması sırasında temin edilen kişisel verilere yer verilmiş ancak bu bilgiler aktarım başlığı altında adreslenmemiştir. ↩︎
Gizlilik Politikasında yer alan hukuki sebeplere ilişkin açıklamalar için bkz. aş. II. C. 1. Whatsapp Tarafından Facebook’a Yapılan Veri Aktarımlarında Amaçlar ve Hukuka Uygunluk Sebepleri ↩︎
CNIL Restricted Committee, Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC, 2019, çevrimiçi https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf 23.01.2021. ↩︎
Belirtelim ki KVKK’da GDPR’dan farklı olarak m. 5/2-f’de yalnızca veri sorumlusunun meşru menfaati için zorunlu olması halinde ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel verilerin işlenmesi bir veri işleme şartı olarak sayılmıştır. Bu nedenle esasen WhatsApp’ın veri sorumlusu olduğu söz konusu aydınlatma metninde Facebook’un meşru menfaatleri bir hukuka uygunluk sebebi teşkil etmeyebilecektir. ↩︎
çevrimiçi, https://www.whatsapp.com/legal/updates/key-updates, 23.01.2021. ↩︎
çevrimiçi, https://faq.whatsapp.com/general/security-and-privacy/what-information-does-whatsapp-share-with-the-facebook-companies 23.01.2021. ↩︎
İlgili bölümde “Diğer Facebook Şirketleri ile paylaşılan bilgiler, Gizlilik İlkesinin “Topladığımız Bilgiler” bölümünde belirtilen veya size önceden bildirilerek ya da izniniz alınarak elde edilen başka bilgileri de kapsayabilir” ifadesi yer almaktadır. ↩︎
çevrimiçi, https://faq.whatsapp.com/general/security-and-privacy/answering-your-questions-about-whatsapps-privacy-policy?campaign_id=12074681937&extra_1=s|c|491604076740|b|%2Bwhatsapp %2Bpolicy|&placement=&creative=491604076740&keyword=%2Bwhatsapp %2Bpolicy&partner_id=googlesem&extra_2=campaignid%3D12074681937%26adgroupid%3D116036426773%26matchtype%3Db%26network%3Dg%26source%3Dnotmobile%26search_or_content%3Ds%26device%3Dc%26devicemodel%3D%26adposition%3D%26target%3D%26targetid%3Dkwd-1116964500370%26loc_physical_ms%3D1012782%26loc_interest_ms%3D%26feeditemid%3D%26param1%3D%26param2%3D 23.01.2021. ↩︎
çevrimiçi, https://faq.whatsapp.com/general/security-and-privacy/how-we-work-with-the-facebook-companies?eea=1&lang=tr 23.01.2021. ↩︎
WhatsApp’ın 20 Temmuz 2020 tarihli gizlilik politikasında “yürürlükteki yasa veya düzenlemelere...yanıt verilmesi” şeklinde bir ifade kullanılmıştır. Daha önceki gizlilik politikalarının İngilizce metinlerinde ve yine WhatsApp’ın 20 Temmuz 2020 tarihli gizlilik politikasının İngilizce metninde (respond pursuant to applicable law or regulations) “yürürlükteki yasa veya düzenlemelere göre...yanıt verilmesi” şeklinde bir ifade kullanılmıştır. Bu çalışmada da “yürürlükteki yasa veya düzenlemelere göre...yanıt verilmesi” şeklindeki ifade cümlenin anlamını daha açık bir şekilde ortaya koyduğu için esas alınmıştır. ↩︎
WhatsApp’ın 4 Ocak 2021 tarihli gizlilik politikasında “yürürlükteki yasa veya düzenlemelere…yanıt verilmesi” şeklinde bir ifade kullanılmıştır. WhatsApp’ın 4 Ocak 2021 tarihli gizlilik politikasının İngilizce metninde (respond pursuant to applicable law or regulations) “yürürlükteki yasa veya düzenlemelere göre…yanıt verilmesi” şeklinde bir ifade kullanılmıştır. Bu çalışmada da “yürürlükteki yasa veya düzenlemelere göre…yanıt verilmesi” şeklindeki ifade cümlenin anlamını daha açık bir şekilde ortaya koyduğu için esas alınmıştır. ↩︎
25 Ağustos 2016 tarihli, 19 Aralık 2019 tarihli ve 29 Temmuz 2020 tarihli gizlilik politikalarından özellikle farklılık gösterilen yerler yazarlar tarafından koyu ile işaretlenmiştir. ↩︎
bkz. Kişisel Verileri Koruma Kurulunun Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08.10.2020 Tarihli ve 2020/765 Sayılı Karar Özeti, çevrimiçi, https://kvkk.gov.tr/Icerik/6844/2020-76523.01.2021. Kurul’un bu kararı aydınlatma metinlerindeki işleme amaçları ile hukuka uygunluk sebepleri arasında bir bağlantı kurulması gerekliliği olarak yorumlanabilir. Bu durumda aydınlatma metninde hukuka uygunluk sebeplerinin işleme amaçları ile ilişkilendirilmeden sadece sıralanması aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği şeklinde değerlendirilebilir. ↩︎
WhatsApp Taahhütname, s. 2-3. ↩︎
Information Commisisoner’s Office (ICO) tarafından WhatsApp’e gönderilen 16 Şubat 2018 tarihli yazı (“ICO, 16 Şubat 2018 tarihli yazı”), https://ico.org.uk/media/2258375/whatsapp-letter-20180216.pdf, s. 4-5. ↩︎
Ek olarak bkz. 4 Ocak 2021 tarihindeki güncellemede: “WhatsApp deneyimlerinizi diğer Facebook Şirketi Ürünleri ile birleştirmenizi sağlayan entegrasyonlar sağlamak. Örneğin, WhatsApp’ta satın aldıklarınız için ödeme yapmak üzere Facebook Pay hesabınızı bağlamanıza imkân vermek veya WhatsApp hesabınızı bağlayarak arkadaşlarınızla Portal gibi diğer Facebook Şirketi Ürünleri üzerinden sohbet etmenize olanak sağlamak.” amacının da eklendiği görülmektedir. Bu amaca ilişkin herhangi bir hukuka uygunluk sebebi metinde belirtilmediği gibi entegrasyon kapsamında aktarılacak olan verilerin kapsamı da yeterli açıklıkta ifade edilmemiştir. ↩︎
Bkz. ICO, 16 Şubat 2018 tarihli yazı, s. 6 vd. Article 29 Çalışma Grubu 24 Ekim 2017 tarihli yazı, s. 3 vd. ↩︎
Veri sorumluları tarafından meşru menfaat değerlendirmesinde dikkate alınabilecek ölçütlere ilişkin bir Kurul kararı hakkında bkz. Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/78 Sayılı Karar Özeti. ↩︎
Bkz. ICO, 16 Şubat 2018 tarihli yazı, s. 6. ↩︎
Bkz. ICO, 16 Şubat 2018 tarihli yazı, s. 7. ↩︎
Nafiye Yücedağ, “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı Ve Genel Hukuka Uygunluk Sebepleri” İÜHFM, LXXV (2) 2017, s. 783. ↩︎
Jürgen, Kühling/Benedikt, Buchner, Datenschutz Grundverordnung, BDSG, Verlag C.H.Beck Münih, 2020, Art. 7, Nr. 48. ↩︎
Kühling/Buchner/Buchner/Kühling DS-GVO Art. 7, Nr. 51. ↩︎
Article 29 Çalışma Grubu, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, s. 16-17. Ayrıca bkz. 6. Beschlussabteilung B6-22/16, Verwaltungsverfahren VerfüGung Gem. § 32 ABS. 1 GWB – Öffentliche Version, Nr. 666 vd. ↩︎
ICO, 16 Şubat 2018 tarihli yazı, s. 5. ↩︎
ICO, 16 Şubat 2018 tarihli yazı, s.6. ↩︎
bkz. Article 29 Çalışma Grubu 24 Ekim 2017 tarihli yazı, s. 2. ↩︎
WhatsApp’in hali hazırdaki kullanıcılarının 25.09.2016 tarihine kadar Facebook ürünleri ve reklamlara ilişkin Facebook’a veri aktarımı hususunda opt-out imkanları olduğu yönünde bkz. çevrimiçi, https://www.oaic.gov.au/updates/news-and-media/whatsapp-users-have-30-days-to-opt-out-of-information-sharing-with-facebook/ -30.01.2021. ↩︎
ICO, 16 Şubat 2018 tarihli yazı, s. 5. ↩︎
ICO tarafından sadece halihazırdaki kullanıcıların iş değerlendirmesi ve sistem güvenliği amaçları için, yeni kullanıcının ise iş değerlendirmesi, sistem güvenliği, davranışsal reklamcılık amaçları için özgür iradeleri bulunmadığı ifade edilmiştir. ICO, 16 Şubat 2018 tarihli yazı, s. 5. Ayrıca bkz. Article 29 Çalışma Grubu 24 Ekim 2017 tarihli yazı, s. 2. Article 29 Çalışma Grubu tarafından WhatsApp’a gönderilen 24 Ekim 2017 tarihli yazıda WhatsApp ve Facebook tarafından önceden işaretlenmiş bir kutucukla alınan rızanın şüpheye yer bırakmayacak derece bir rıza olmadığı ifade edilmiştir. Article 29 Çalışma Grubu 24 Ekim 2017 tarihli yazı, s. 3. ↩︎
Bastian, Stemmer, Beck’scher Online-Kommentar Datenschutzrecht, ed. Wolff Heinrich Amadeus/Brink Stefan, Verlag C.H.Beck, Münih, 2017, Art. 7 Nr. 42; Frenzel Michael, Datenschutz-Grundverordnung Bundesdatenschutzgesetz . ed. Paal, Boris P./ Pauly, Daniel A., C.H.Beck, Münih, 2018, Art. 7 Nr. 18; Sebastian, Schulz, Datenschutz-Grundverordnung, ed. Gola, Peter, Verlag C.H.Beck, Münih, 2018, Art.7, Nr. 26. ↩︎
İpek Aşıkoğlu/Burak Uzun, “Kişisel Verilerin Yurtdışına Aktarımının Açık Rızaya Dayandırılmasının Yarattığı Sorunlar ve Çözüm Önerileri”, Prof. Dr. Türkan Rado’nun Anısına Armağan, Ed: Abuzer Kendigelen, s. 944 vd. ↩︎
Article 29 Çalışma Grubu, Guidelines on consent under Regulation 2016/679, s.10; Article 29 Çalışma Grubu, Guidelines on consent under Regulation 2016/679, s. 9; European Data Protection Board, Guidelines 05/2020 on consent under Regulation, 2016/679 Version 1.1, Adopted on 4 May 2020, s. 11. ↩︎
Bkz. Article 29 Çalışma Grubu, Guidelines on consent under Regulation 2016/679, s. 9; European Data Protection Board, Guidelines 05/2020 on consent under Regulation, 2016/679 Version 1.1, Adopted on 4 May 2020, s. 11. Ancak söz konusu tercih imkanının para ya da karşı edim olarak veri sağlanması şeklinde ilgili kişiye sunulması halinde özgür iradenin var kabul edilebileceği hususu kanaatimizce açık değildir. Eşdeğer hizmetin ücretsiz sunulan bir hizmet olması gerektiği yönünde bkz. https://ico.org.uk/media/about-the-ico/disclosure-log/2616227/irq0872554-disclosure.pdf -30.01.2021. ↩︎
Ayrıca bkz. Kişisel Verileri Koruma Kurulunun 27.02.2020 Tarihli ve 2020/173 Sayılı Karar Özeti ↩︎