16 Ocak 2021 tarihinde, KHAS Yaşam Boyu Eğitim Akademisi ve KHAS Lit Lab tarafından ortak düzenlenen,
"Whatsapp Halleri" webinarında, WhatsApp Gizlilik Sözleşmesi ve Kişisel Veriler hakkında konuştuk. Prof. Dr. Hasan Dağ ve Dr. Öğr. Üyesi Alara Efsun Yazıcıoğlu'nun konuşmalarından derlenen notlara erişmek için aşağı kaydırın!

 

WhatsApp’ın yeni gizlilik sözleşmesinin farkında olmadan onaylanmış olması son derece mümkündür. Yeni gizlilik sözleşmesi henüz uygulanmaya başlamadığı için (kurum tarafından yapılan son açıklamaya göre uygulama tarihi 15 Mayıs 2021’e ertelendi), bu sözleşmeye istinaden veri aktarımına henüz başlanmadı.

Gizlilik sözleşmesine verilen onayı WhatsApp uygulaması aracılığı ile geri almak mümkün değil. Sözleşmeye verilen onayın geri alınmasının tek yolu WhatsApp hesabının silinmesidir. Burada “silinmek”ten kasıt, telefona indirilen uygulamanın silinmesi değil, WhatsApp hesabının silinmesidir. Eğer WhatsApp hesabı değil, yalnızca uygulama silinirse veriler bir süre daha depolanabilir. Bu husus, WhatsApp gizlilik sözleşmesinde “[…] eğer verilerinizin alınmasını istemiyorsanız ve onayınızı geri almak istiyorsanız, bunun tek yolu WhatsApp uygulamasını olduğu gibi sisteminizden kaldırmaktır” şeklinde açıklamıştır.

Öncelikle yeni gizlilik sözleşmesiyle nelerin değiştiğinin belirtilmesi gerekmektedir. Bilindiği üzere WhatsApp, Facebook şirketi tarafından 2016 yılında satın alındı ve bu satın alma söz konusu olduğunda kullanıcılar arasında kişisel verilerinin güvenliğine ilişkin bir huzursuzluk yaşandı. Bu huzursuzluk kısa süreli oldu ve kullanıcılar konunun üzerinde fazla durmadı.

WhatsApp 2016 yılından beri Facebook ve diğer grup şirketleri ile veri paylaşmaktadır. Dolayısıyla, 2016 yılında veri paylaşımına itiraz etmeyen kullanıcıların verileri hâlihazırda paylaşılmaktadır. 4 Ocak 2021 tarihinde yapılan güncellemede herhangi bir şekilde veri paylaşımının kapsamı genişletilmiş değildir. Bununla beraber, veri paylaşımına onay verilmesi zorunlu hale getirilmiş ve kullanıcıların itiraz hakları ellerinden alınmıştır.

Öncelikle, toplanan verilerin kullanım amaçlarının belirtilmesi yerinde olacaktır. Kullanıcıların WhatsApp mesajları aracılığıyla paylaştıkları veriler her ne olursa olsun -örneğin; ad, soyad, bağlantılar, IBAN numarası- bu verilerin WhatsApp ya da Facebook tarafından kullanıcıların aleyhine kullanılması söz konusu değildir (örneğin WhatsApp veya Facebook bu verileri kullanarak kişilerin banka hesaplarından usulsüz para çekmeyecektir). Toplanan veriler bahsi geçen şirketlerin kullanıcılar hakkında daha fazla bilgiye sahip olmasını sağlamaktadır. İlgili verilerin işlenmesi ile platformlar vermekte oldukları reklam hizmetlerini geliştirme imkânı yakalıyorlar. Örneğin; bir kalem üreticisi İstanbul’da satın alma potansiyeli yüksek olan kitleye hitap etmek istediği zaman, reklam kampanyası için Facebook ile anlaştığında Facebook topladığı verilerden faydalanarak bir hedef kitle oluşturuyor ve bu reklamları onlara sunuyor. Facebook, Instagram, WhatsApp gibi uygulamalar ücretsiz olarak hizmet sunuyor ve dolayısıyla kullanıcıların ödedikleri ücret üzerinden gelir sağlamıyorlar. Bunun yerine, kullanıcıların gönüllü olarak verdikleri veriler işlenerek pazarlanabilir bilgi haline dönüştürülüp satılıyor.

WhatsApp’ın gizlilik sözleşmesinde belirtilen “hesap bilgileri” kısmı, uygulamaya kaydolurken girilmiş olunan kişisel bilgileri içermektedir. WhatsApp, ayrıca, kullanılan cihazın ne tür bir akıllı telefon olduğu, en son ne zaman servise gittiği, üretici bilgisi, konum bilgileri gibi bilgileri de kişisel veri olarak topluyor.

Kişilerin özel yazışmalarının içeriğine ise WhatsApp’ın erişmesinin söz konusu olmadığı belirtiliyor. Bunun nedeni ise ilgili uygulama tarafından kullanılmakta olan uçtan uca şifreleme sistemi.

Uçtan uca şifreleme sistemi ile kullanıcıların mesajları ve görüntülü konuşmaları kendi cihazlarını terk etmeden şifrelenir ve alıcı cihaza ulaşana kadar bu şekilde kalır. Bu iletiler hangi ortamda taşınırsa taşınsın (kablo, uydu vb.) şifrelidir. Dolayısıyla, içeriklerine, WhatsApp çalışanları da dahil olmak üzere, üçüncü kişiler tarafından erişilemez.

WhatsApp yeni gizlilik politikasının sadece Facebook’tan barındırma hizmeti alan işletmelere WhatsApp üzerinden mesaj gönderme özelliği ile ilgili olduğunun (WhatsApp Business) ve bu mesajlaşmaların da tamamen isteğe bağlı olduğunun altını özellikle çizmektedir.

Bu noktada belirtmek gerekir ki, WhatsApp platformunu kullanan şirket sahiplerinin çoğu Facebook’ta şirket hesabı açmamaktadır. Hatta, bazı şirketler bir çalışanlarının (genel müdür ya da yöneticilerden biri gibi) cep telefonunu aracılığı ile de WhatsApp üzerinden işlerini yürütebilirler. Dolayısıyla, bir şirketle WhatsApp üzerinden görüşme yaparken ilgili hattın gerçekte kime ait olduğunun kullanıcı tarafından bilinmesi pek de mümkün değildir. Bu nedenle WhatsApp’ın “sadece depolama hizmeti alan şirketlerden veri alıyoruz” şeklindeki açıklamasının ne kadar gerçeği yansıttığı şüphe konusudur.

WhatsApp yeni gizlilik sözleşmesini kullanıcılarına onaylatmak suretiyle, aslında kullanıcılardan Kişisel Verileri Koruma Kanunu kapsamında bir açık rıza almak istemektedir. Açık rıza, Kişisel Verileri Koruma Kanunu’nun 3. maddesinde belirtilmiş olan bir kavramdır. Açık rızanın en önemli geçerlilik şartı özgür irade ile verilmesi gereksinimidir. “Özgür irade”den kasıt, sözleşme kurulmasının kullanıcıların verilerinin işlenmesine rıza verme şartına bağlanmamasıdır. Eğer bir kurum, kişisel verilerin işlenmesi için açık rıza verilmemesi halinde ilgili kişiye hizmet vermeyi reddediyor ise, özgür iradeden bahsetmek söz konusu olmayacaktır. Açık rıza veren kişi, verilerinin işlenmesine ilişkin rızasını istediği zaman geri çekme özgürlüğüne de sahiptir.

WhatsApp’ın yeni gizlilik sözleşmesine onay vermeyen kullanıcıların uygulamayı kullanamayacaklarını belirtmesi ve ilgili sözleşmeye ilişkin olarak önceden verilen rızanın geri alınmasının tek yolunun WhatsApp uygulamasını silmek (yani hizmeti kullanmayı bırakmak) olması, söz konusu gizlilik politikasına verilmiş olan onayın açık rıza teşkil edemeyeceğini gösterir niteliktedir. Kişisel Verileri Koruma Kurulu, WhatsApp gizlilik sözleşmesinin açık rıza bakımından sorun teşkil edebileceğine işaret etmek ile beraber henüz konuya ilişkin bir karar vermemiştir.

Kişisel Verileri Koruma Kanunu’nun 5. maddesi uyarınca, bir “hukuka uygunluk hali”nin söz konusu olması halinde kullanıcıların kişisel verilerinin herhangi bir açık rıza olmaksızın işlenmesi mümkündür. Kanun’da öngörülmüş hukuka uygunluk hallerinden bir tanesi de bir sözleşmenin kurulması ve ifası için kişisel verilerin işlenmesinin gerekli olmasıdır.

Kanun uyarınca bir hukuka uygunluk hali bulunması durumunda kişilerin açık rızasını almaya gerek olmadığı gibi, böyle bir rıza talep de edilemez. Nitekim, Kişisel Verileri Koruma Kurulu’nun daha önce verdiği kararlarda veri işleme faaliyetinin açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı belirtilmiştir.

WhatsApp’ın yeni gizlilik sözleşmesini kullanıcılarına sunmasıyla beraber Telegram, Signal ve BiP gibi uygulamalar daha popüler hale geldi. Telegram uygulamasında uçtan uca şifreleme kendiliğinden devreye girmiyor ancak kullanıcılar bu özelliği kendileri aktif edebiliyorlar. Signal uygulamasında ise mesajların kendilerini imha etmesi, grup mesajlaşmaları dâhil uçtan uca şifreleme, bir cihazdan başka bir cihaza geçildiğinde mesajların taşınmaması gibi özellikler bulunmaktadır.

Belirtmek gerekir ki, Telegram ve WhatsApp gibi platformlar kâr amacı gütmektedir. Uygulamalarını ücretsiz sunmak suretiyle kişisel verileri toplayarak ve daha sonrasında işleyip pazarlama faaliyetleri için kullanarak gelir sağlamaktadırlar. Buna karşın Signal uygulaması bir vakfa aittir ve bir ticari kaygısı bulunmamaktadır. Ayrıca, Signal uygulaması açık kaynaklı olması nedeniyle siber güvenlik uzmanları tarafından denetlenebilirken, WhatsApp ve Telegram denetlenememektedir. Bu durum da kullanıcıların şirket yöneticilerinin yaptığı açıklamalara güvenme zorunluluğunu doğurmaktadır.

Burada altı çizilmesi gereken nokta uygulamaların güvenilirliğinden öte, insanların bilinçli tüketiciler olmaları gereksinimidir. Gerçekten gizli olması gerektiğini düşündüğümüz bir bilgi paylaşımı için herhangi bir platformu kullanmamak daha doğru bir yol olabilir.

 

Günümüzde uygulamaların veri toplaması salt ücret politikaları ile açıklanamaz. Ücretli uygulamalar da ücretsiz olanlar gibi verilerimizi toplayabilirler ve toplamaktadırlar. Bu nedenle, ücretli uygulamaların veri toplamadığı şeklinde bir yanılgıya düşmemek son derece önemlidir.

Ayrıca, ücretsiz olan herhangi bir uygulamanın ücretli hale gelerek veri toplamasına son vermesi çok da olası değildir, zira bu platformlar için kullanıcılardan toplanan verilerin değeri abonelik ücretinden çok daha fazladır.

Evet, bunu sağlamak elbette mümkündür. Günümüzde çok fazla veri toplanmaktadır ve her bir veri insanlara dair çok fazla bilgi içermektedir. Bu veriler, eğer istenir ve gerekli önlemler alınırsa, toplum için son derece faydalı olabilirler.