Kişisel Verileri Koruma Kurulu’nun 12.01.2021 Tarihli Whatsapp Kararı Analizi

WhatsApp uygulamasının 04.01.2021 tarihli kullanım koşulları-sözleşme güncellemesi (bundan böyle “güncelleme” olarak anılacaktır) ve bu güncellemenin WhatsApp tarafından halihazırda uygulanan veri işleme faaliyetleri bakımından esaslı bir değişiklik teşkil etmediği sabit olsa da gerek kamuoyu yansıması gerek hayata geçecek birtakım usuli-teknik değişikliklerin hukuka ve temel haklara aykırılığından ötürü öncelikle Rekabet Kurumu, izleyen şekilde Kişisel Verileri Korumu Kurumu (uygulayıcı karar alma mekanizması olarak “Kurul”) WhatsApp Inc. hakkında re’sen soruşturma başlatmıştır.

Gerçekten de mevzubahis Rekabet Hukuku ile Veri Koruma Hukuku alanlarını ilgilendirmekte olup Rekabet Kurumu tarafından alınan soruşturma kararı -en azından ülkemizde mevcut rekabet uygulama alanı açısından- sürpriz olarak karşılansa da Kurul kararı birtakım yönlerden bazı “ilk”lerin sinyallerini vermektedir. İşbu inceleme çalışmasında Kurul kararı referans noktaları uyarınca irdelenecektir. Konunun uluslararası rekabet boyutuna ise hacmi ve içeriği itibarıyla işbu çalışmada değinilemeyecektir.

  1. Kurul’un 12.01.2021 Tarihli WhatsApp Kararı – Hukuka Aykırılık Referansları

İlgili Kurul kararının ana noktaları (key-point) aşağıdaki şekildedir:

  1. Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
  2. Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4.maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
  3. Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
  4. WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9.maddesi hükümlerine aykırılık olup olmadığı
  1. Payment by Data ~ PayData / Veri ile Ödeme ~ Verinin Bedeli

Bilindiği üzere “kişisel veri”, “rıza”, “mahremiyet”, “aydınlatma” gibi kavramlar, ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) yürürlüğüyle beraber daha sık gündeme gelmeye başlamış ve bu alanda birçok tartışma alanı yaratmıştır. Bu tartışma alanlarından biri, üç temel unsuru “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olan “açık rıza”nın bir ürün veya hizmetin ön şartına bağlanıp bağlanamayacağına ilişkin meseledir. Kurul tarafından ilan edilen kararlar uyarınca neredeyse Kanun’un yürürlük tarihinden beri rızanın hizmet şartına bağlanamayacağı bilinmektedir ve bugün “diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği, ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı” gerekçesiyle “özgür iradeyle temin edilmeye çalışılan” rıza, veri sorumlularınca yerleşik uygulama haline getirilmeye çalışılmaktadır. Ancak öyle durumlar olabilir ki veri sorumluları rızayı özgür irade ile temin etme yoluna başvuramamakta veya inisiyatifleri dahilinde başvurmamaktadır. Şöyle ki;

WhatsApp tarafından ilan edilen güncelleme ile “ya rıza ver ya da uygulamayı kullanma” şeklinde özetlenebilecek yaptırım, rızanın hizmet şartına bağlanmasının en güzel örneklerinden birini oluşturmaktadır. Kurulduğundan bu yana “ücretsiz” olarak hizmet veren WhatsApp, güncellemesiyle özellikle ücretsiz hizmetin ancak ve ancak rıza verilerek kullanılabilmesi (payment by data), buna bağlı olarak kullanıcıların Facebook ve diğer üçüncü parti ortaklara veri aktarımına ilişkin rıza vermek zorunda bırakılması bakımından hukuka aykırılık unsurlarını oluşturmuştur. Yukarıda Kurul kararının ilgili alıntısında bu aykırılığa ilişkin (a) ve (c) bentlerinde atıf yapıldığı görülmektedir.

  • Payment by Data – Artık Mümkün, mü?

Daha önce, Kurul’un bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında verdiği kararını, deyim yerindeyse “hizmetin ana unsuru” olmayan ve “yan/ek” nitelik teşkil eden uygulamalar bakımından açık rızanın hizmet şartına bağlanabileceğine dair bir sinyal verdiği şeklinde yorumlamak yanlış olmayacaktır. Aynı şekilde konuyla ilgili yakın geçmiş düzenlemelerinden bir diğeri Avrupa Birliği’nde “Directive (EU) 2019/770” olarak bilinen ve birtakım usul ve esaslar dahilinde sözleşme ana ifa konusunun “verinin kendisi” olmasına imkân veren düzenlemedir. Avrupa Birliği uygulamasında direktif ile Genel Veri Koruma Tüzüğü (“GDPR”) uyumluluğunun nasıl koordine edileceğine dair çalışmaların devam ettiği bilinmektedir.

WhatsApp kararında, sözleşme ediminin verinin kendisi olmasıyla ilgili dikkat çekici bir ayrıntı yer almaktadır. Kurul kararının ilgili alıntısında bu aykırılığa ilişkin (a) bendinde “kullanım yaygınlığı da göz önünde bulundurularak” şeklinde ifade edilen somut durum rızanın hizmet şartına bağlanıp bağlanamayacağı konusunda Kurul’un vereceği aykırılık kararında önemli bir rol oynayacaktır. Diğer bir deyişle, “toplumda neredeyse %99 kullanım yaygınlığına sahip bir hizmete bağlı rıza, rıza sakatlanmasına yol açabilir mi” sorusunun cevabı bütün hukuki tartışmalardan ari şekilde irdelenecektir. Elbette başta Kanun’un 4.maddesinde yer alan temel ilkeler ile teorik veri koruma hukukunun somut olaya yorumlanması gereken bu noktada, kanaatimizce yaygınlık ve tekellik unsurları da dikkate alınarak karar verilmesi kuvvetle muhtemeldir.

  1. Tanımlar: Yurtdışında Yerleşik Yurtdışı Aktarımı Yapan Veri Sorumlusu

Bilindiği üzere WhatsApp’ın AB süreçleri, AB hizmetleri için özel olarak kurulmuş WhatsApp Ireland Limited tarafından sevk ve idare edilmektedir. WhatsApp, ilgili güncellemesini Avrupa Birliği (“AB”) sınırları içinde hizmet verdiği ülkeler bakımından uygula(ya)mamıştır. Elbette, güncellemenin AB’de hayata geçiril(e)memesinin birtakım nedenleri bulunmaktadır. Kanaatimizce bunun başlıca nedenleri AB’de çok sert ve katı şekilde uygulanan veri koruma mevzuatı esasları ile 20 milyon € ve nihayetinde yıllık cironun %4’üne kadar ulaşan yüksek para cezaları, bunun yanında Safe Harbor iptali ile AB’nin veri lokalizasyonu amacıyla attığı adımların AB dışına veri aktarımını adeta yasaklaması olarak gösterilebilir. Her ne sebeple olursa olsun sonuç olarak WhatsApp gerek rıza kurgusu gerek yurtdışı veri aktarımı noktasında AB ile girmeyi göze alamadığı tartışmalı hukuka aykırılık süreçlerine ülkemiz dahil birçok ülkeyle girmeyi göze alabilmiştir.

  • Nedenler

Yurtdışı veri aktarımı hakkında AB düzenlemelerinin oldukça sıkı, net ve regüle olması, bunun karşısında güncel mevzuat şekillendirici olan Kurul’un Kanun’da yer alan güvenli ülkeler ve yurtdışı aktarım taahhütnameleri hakkında hala bir gelişme kaydetmemesi veya muhtelif gerekçelerle(?) kaydedememesi[9], yurtdışı aktarımının ancak ve ancak açık rıza ile gerçekleştirilebilmesi ve risk arz eden “açık rıza alan her şeyi yapabilir” algı yanılsaması kanaatimizce WhatsApp’ın Türkiye ile girmeyi göze aldığı hukuki mücadelesine cesaret vermiş olabilir. Ancak Kurul, bu cesarete karşılık bugüne kadar “veri ihlali”ne istinaden soruşturma açtığı yurtdışında yerleşik veri sorumluları arasında bir istisna ve ilk teşkil ederek WhatsApp hakkında bir veri ihlali olmadan, re’sen soruşturma başlatmıştır. Bu itibarla WhatsApp Inc’in, re’sen soruşturma açılan yurtdışında yerleşik ilk veri sorumlusu olduğu söylenebilecektir.

  • Veri Toplama < Veri Aktarımı ~ Veri Toplama > Veri Aktarımı

WhatsApp kararı ile hukuki literatüre giren “yurtdışında yerleşik yurtdışı aktarımı yapan veri sorumlusu” ifadesi ilk defa tanımlanmıştır. Bu noktada belirtilmesi gereken; yurtdışında yerleşik veri sorumlusunun Türkiye’de olmadığından bahisle aslında yurtdışı aktarımı yapamayacağı olsa da Kurul bakış açısıyla değerlendirildiğinde görülmektedir ki “bir şekilde” elde edilen/toplanan kişisel verilerin, WhatsApp’ın Türkiye’de gerçek kişi veya tüzel kişi yetkili temsilcisi olmasa da “uygulama eliyle uzaktan” yurtdışına aktarıldığı kabul edilmekte ve bu suretle Kurul kararının ilgili alıntısında (d) bendinde görüldüğü üzere Kanun’un 9.maddesinde düzenlenen yurtdışı aktarımı kapsamında kabul edilmektedir.

Konunun diğer bir bacağı Kurul kararının ilgili alıntısında (a) bendinde açıklandığı üzere kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı olup güncellemenin aykırılık teşkil ettiği temel noktalardan biri de budur. Rızayı bir “yaptırım” olarak alan bir kurumdan süreç ve faaliyete özgü ayrılması gereken rızaları ayrı ayrı alması beklenemeyecektir. Bu konuda kanaatimiz açık rızanın hukuka aykırı bu kısmı ile ilgili standart bir yaptırım kararı uygulanması gerektiğidir.

  • VERBİS

Bu hususa Kurul kararında değinilmemiş olsa da malum olduğu üzere yurtdışında yerleşik veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemi – VERBİS kaydı yükümlülüğü bulunmaktadır. Bu kapsamda bir üst başlıkta açıklanan veri toplama ve veri aktarımı; nihai olarak “veri işleme” faaliyeti Kurul görüşüyle kati surette mevcut olup Kanun’da yer alan esaslı kabahatlerden (m.18/1/ç) VERBİS kayıt ve bildirim yükümlülüğüne aykırılıktan ötürü en üst sınırdan idari yaptırım uygulanması kuvvetle muhtemel görünmektedir.

  1. Manipülasyon – Metadata Profillemesi

Güncellemenin ardından kamuoyu ve çeşitli toplumsal mercilerin hareketi üzerine anlaşılmıştır ki güncellemenin getirdikleri bir yana “uçtan uça şifreleme protokolü” olarak adlandırılan kriptografik anahtar sayesinde sohbet içeriklerini WhatsApp görüntüleyememektedir. Aynı protokolü kullanan başkaca programların da yine sohbet içeriklerini görüntüleme imkânı bulunmadığı bilinmektedir. Ancak güncelleme ile kapsamı genişletilen veri işleme noktalarının nasıl kullanılacağı hem hukuki hem teknik olarak merak konusu olmaya devam etmektedir. Netice itibarıyla Facebook ve diğer alıcı gruplarının örneğin çevrimiçi olma, olmama, cihaz bilgileri gibi belki de bazı kimseler için sohbet içerikleri kadar da önemli olmayan verileri nasıl ve hangi istatistiksel veya algoritmik işleme yöntemleriyle kullanacakları belirsizdir. Bu noktada akıllara geçtiğimiz yıllarda politik manipülasyon ile “seçim kazandıran” Cambridge Analytica ve Facebook skandalı gelecektir.

Profilleme olarak tanımlanan; kişilerin birtakım kişilik, karakter veya tamamıyla alakasız olduğu düşünülen bambaşka özelliklerinden ekonomik, sosyal, özel hatta politik menfaatler elde etme yöntemleri Kanun’un en başta önlemek istediği unsurlardan sayılabilecektir. Bir kişinin profili; kişinin sosyallik seviyesi, etnik kültürel değerleri, karar mekanizmaları, hayata bakışı, pozitif veya negatif bir kişiliğe sahip oluşu, normatif bağlantıları, kendiyle barışı da dahil olmak üzere demografik, psikolojik, sosyolojik ve jeografik etkenleri ile çıkartılabilecek ve analiz edilebilecektir. İşte Kurul kararının ilgili alıntısında (b) bendinde açıklanan “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği, bu başlık altında değerlendirilen “profilleme” ölçütüyle yakından alakalıdır.

Kanaatimizce “metaveri ya da üst veri, bir kaynağın ya da verinin öğelerini tanımlayan bilgiler, veri hakkında veri/bilgi” olarak tanımlanan “metadata” verisi, geçmişi çok parlak olmayan Facebook grubunun profilleme uygulamalarına devam etmesi adına ihtiyaç duyduğu ve vazgeçemeyeceği temel girdilerdendir. Bu nedenle kamuoyu algısı ve veri işleme odağı son tahlilde “sohbet içeriği”ne yönelmiş olsa da profilleme maksadıyla kullanılabilecek bu bilgilerin kitlesel çalışmalarda ilgililerin lehine veya aleyhine oldukça etkili şekilde kullanılabileceği hiçbir zaman unutulmamalıdır.

  1. Son Söz

Kurul’un müteakip değerlendirmesi merakla beklenmekle birlikte özel anlamda “veri koruma hukuku”nun bambaşka bir dünyaya evirildiği artık tartışmasızdır. Veri temelli ekonomiler gün geçtikçe veri temelli sözleşmeleri, veri temelli sözleşmeler ise verinin kullanılma biçimi, yöntemi, usul ve esasları hakkında sözleşme edimlerinin “verinin kendisi” olduğu hukuk sistematiklerini oluşturmaya başlamıştır. Unutulmaması gereken ise bu sistematikler yaratılırken Kanun’un temel ilkeler olarak saydığı, insan hakları veya hukuk kurumunun da temel sütunları olan “insani” değer ve haklara ne derece dokunulacağı, bu değer ve hakların ne şekilde etkileneceğidir.