Kişisel Verileri Koruma Kurulu’nun Whatsapp Hakkında Re’sen Başlattığı İnceleme Sonuçlandı

13.01.2021 tarihinde duyurduğumuz üzere, Kişisel Verileri Koruma Kurulu (“Kurul”) 12.01.2021 tarih ve 2021/28 sayılı kararı ile Whatsapp LLC. (“WhatsApp”) hakkında re’sen inceleme başlatmıştı. Kurul, incelemeye ilişkin 03.09.2021 tarih ve 2021/891 sayılı Kararı’nı (“Karar”) duyurdu. Söz konusu Karar kapsamında yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere Whatsapp Hizmet Koşulları ve Gizlilik İlkesine ilişkin tespit ve değerlendirmelere yer verildiği görüldü.

Kurul tarafından,

• Whatsapp kullanıcılarından kişisel verilerinin işlenmesi ve yurtdışında yerleşik üçüncü taraflara aktarılması için seçimlik hak sunulmaksızın tek bir açık rıza alınması, işleme ve aktarım faaliyetlerinin tek bir metinde ayrılmaz olarak ilgili kişiye sunulması ve hizmetin bir koşulu olarak dayatılması nedenleriyle, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelendiği,
• WhatsApp Hizmet Koşulları ve Gizlilik İlkesinde yer alan aktarıma ilişkin ifadelerin müzakereye kapalı şekilde sunulduğu ve kullanıcıların bir bütün olarak aktarıma onay vermeye zorlandığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 4’te yer alan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu,
• İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenilmesinin ve hangi verilerin hangi amaçlarla aktarılacağına dair metinlerde net bir bilgi yer almamasının “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olduğu,
• Türkiye’de bulunan kişilerden elde edilen kişisel veriler üzerinde yapılan her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, ancak WhatsApp tarafından yurt dışı aktarım faaliyetleri için açık rızaya başvurulmadığı gibi Kurul’a yapılmış bir taahhütname başvurusu da olmadığı, bu nedenle yurt dışı aktarımına dair kurallara da uygun hareket edilmediği,
• Profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine dair açık rıza alınmadığı

tespit edilerek ve değerlendirilerek WhatsApp hakkında KVKK m. 18/1-b uyarınca, 1.950.000 TL idari para cezası uygulanmasına karar verildi.

Son olarak, Kurul, 04.01.2021 tarihli WhatsApp Hizmet Koşulları ve aydınlatma metni yerine kullanılan Gizlilik İlkesinin KVKK’ya ve ikincil mevzuata uygun hale getirilmesi konusunda WhatsApp’a talimat verilmesine karar verdi.

Karar’a ilişkin duyurunun tam metnine buradan ulaşabilirsiniz.