WHATSAPP’IN KİŞİSEL VERİLERİ PAYLAŞMA TALEBİ NE ANLAMA GELİYOR? WHATSAPP BUNUNLA NE AMAÇLIYOR?

Yaradılışı gereği toplumsal bir varlık olan insan, tarih boyunca hep toplum içinde var olmuştur. Lakin insan; bir taraftan herkese açık olan toplumda bulunma arzusuna, diğer taraftan da toplumdan uzak, kendine ait, özel ve gizli alanında yaşama arzusuna sahiptir. Özel hayat; insanın kişiliğine saygı gösterilme, rahat bırakılmayı isteme, kendi hayatını istemediği ve benimsemediği şekilde kamuya aktarılmadan devam ettirebilmeyi isteme hakkıdır. Özel yaşam alanı, kişinin hayatının yakınlarınca (ailesi, arkadaşları, dostları v.b) bilinen, onlarla paylaşılan etkinlik ve davranışları kapsayan kesitidir.

Günümüzde devletler, kişilerin özel hayatlarıyla ilgili çok sayıda bilgiye sahiptirler. Bu bilgilerin başkasının eline geçme ihtimali kişilerin özel hayatına müdahale teşkil etmekte olup gizlilik; özel hayatın ve dolayısıyla bunun kapsadığı kişiliğin korunmasının bir aracını oluşturmaktadır. Hangi şekilde olursa olsun, bir kimsenin gizli alanına girilip müdahale edilmesi, özel hayatın gizliliğinin ihlalini oluşturur. Özel hayatın gizliliği hakkı, herkese karşı ileri sürülebilen Anayasa kapsamında güvenceye alınmış, mutlak bir haktır. Dolayısıyla hukuk devleti olmanın bir gereği olarak devlet, onur sahibi insanların kişiliğini geliştirebileceği bir alan olan özel hayatı ve gizliliğini tanımak ve korumakla yükümlüdür. Kişilere maddi ve manevi varlıklarını diledikleri gibi şekillendirebilecekleri, geliştirebilecekleri, yönlendirebilecekleri özgür bir özel yaşam alanı oluşturmak demokratik hukuk devletinin bir gereğidir.[1]

WhatsApp; kendi bünyesinde çalışanları olan, Biran Acton ve Jan Koum tarafından ABD'de, Kaliforniya eyaletindeki Santa Clara kentinde kurulmuştur. Kısa zamanda büyük bir popülariteye kavuşan WhatsApp Messenger, akıllı telefonlar için geliştirilen, platformlar arası çalışma özelliğine sahip bir anlık mesajlaşma, arama, haberleşme uygulamasıdır. İnternet bağlantısı aracılığıyla kullanıcıların birbirlerine fotoğraf, video, ücretsiz arama, sesli ve yazılı mesaj ve belge göndermesini sağlar. Dünyada kayıtlı kullanıcı sayısı en yüksek olan siber hizmetler arasındadır. 19 Şubat 2014 yılında Facebook tarafından satın alınmıştır. Artık Facebook bünyesinde bulunan bir uygulamadır. Bugüne kadar da, ücretsiz kullanılan, kullanıcılarından bir ücret talep etmeyen ve indirilirken, herhangi bir sözleşme imzalatmayan bir uygulamaydı.

WhatsApp'ın, Türkiye'deki kullanıcıların tepkisini çeken son talebi 4 Ocak 2021 tarihinde geldi. Whatsapp artık uygulamanın kullanılabilmesi için kullanıcılardan verileri paylaşmasına müsaade ettiğine ilişkin sözleşme imzalama koşulunu getirdi. Sitede yer alan metinde, WhatsApp'ın Facebook şirketlerinin bir parçası olduğu vurgulandı ve şunlar kaydedildi: "Hizmetlerimizin yürütülmesi, sağlanması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla WhatsApp; hizmetlerimizi ne zaman yüklediğiniz, kullandığınız veya hizmetlerimize ne zaman eriştiğiniz dahil olmak üzere bazı bilgileri almak veya toplamak zorundadır. Aldığımız ve topladığımız veri türleri, hizmetlerimizi nasıl kullandığınıza bağlıdır. Hizmetlerimizi sağlamak için belirli bilgilere gereksinim duyarız ve bunlar olmaksızın hizmetlerimizi size sağlayamayız. Facebook şirketlerinin bir parçası olan WhatsApp, diğer Facebook şirketlerinden bilgi alır ve bu şirketlerle bilgi paylaşımında bulunur. Hizmetlerimizin ve Facebook şirketi ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler."

WhatsApp imzalanmasını istediği bu metin ile, resmi olarak kullanıcı rızası alarak, kişisel verilerin Facebook ile paylaşılmasının önünü açmaktadır. Kullanırken bizden herhangi bir ücret talep etmeyen WhatsApp, halihazırda zaten verilerimizi depolamaktadır. Burada sorun teşkil eden durum; bu sözleşme ile verilerin kullanım şekli ve bağlı şirketleri ile paylaşılabilmesidir. Yoksa zaten uçtan uca şifreleme yapan WhatsApp, niteliği gereği bu verilerimizi depolamaktadır. Fakat herkesin aklını meşgul eden kısım bu verilerin kullanılma ve bağlı şirketler ile paylaşılabilmesidir.

WhatsApp, Güncellenen ilkelerinde “Hizmetlerimizin ve Facebook Şirketi Ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler” ifadelerini kullanıyor. WhatsApp'ın depoladığı kullanıcı verileri oldukça kapsamlı. Bu kapsamda kullanıcıyı korkutan, verilerin hangileri paylaşılacaktır?

Bu sözleşmeyi onaylarsak WhatsApp depoladığı hangi verileri paylaşabilecek?

I. Hesap Bilgileri

II. Mesajlar

III. Bağlantılar

IV. Durum Bilgisi

V. İşlem ve Ödeme Verileri

VI. Müşteri Desteği ve Diğer İletişimler

VII. Kullanım ve Kayıt Bilgileri

VIII. Cihaz ve Bağlantı Bilgileri

IX. Konum Bilgileri

X. Çerezler

Toplanan bu veriler ise; Yan Hizmetler, Emniyet, Güvenlik ve Bütünlük, Facebook Şirketleri Hakkındaki İletişimler, Kurumsal Etkileşimler şeklinde kullanılabilecek.

WhatsApp, bu verileri profilleme tespiti için kullanacak, bununla kişilerin tercihlerini, bu tercihleri sosyal, ekonomik, siyasal yöndeki bilgileri profilleme yapacak, kişilere reklam yönlendirmesi yapma kolaylığından istifade edecektir. Uçtan uca şifreleme yapan programlarda nitelikleri itibariyle, program içinde paylaşılan veriler 3. kişilerce görülmez. Yani kişilerin çok özel paylaştığı bilgiler yine korunmuş olacak. Burada WhatsApp’ın ulaşacağı bilgiler, on madde halinde yukarıda sayılan bilgiler olacaktır.

WhatsApp’ın Kişisel Verileri Paylaşma Talebinden AB Ülkelerini Muaf Tutmasının Sebebi Nedir?

Avrupa Birliği ülkelerinde WhatsApp’ın bu sözleşmeyi uygulamaya koymaması, ancak Türkiye’deki kullanıcılar için uygulamaya koymasının sebebi, Avrupa Birliği’nin Kişisel Verileri Koruma Tüzüğü’nün koyduğu sıkı kurallardan kaynaklanmaktadır. Avrupa Birliği Verileri Koruma Tüzüğü, Avrupa Birliği vatandaşlarının kullanıcı verilerini AB sınırları içerisinde depolama yükümlülüğü, veri güvenliğine verdiği önem, ve veri toplamadaki sıkı koşullardan dolayı, WhatsApp, AB üyelerine bu yükümlülüğü getirmede farklı davranmaktadır. Bu nedenle AB vatandaşlarına, sözleşmeyi kabul etmeseler de kullanım devamlılığı sağlanırken, durum ülkemiz için biraz farklılık teşkil etmektedir. Ülkemizde her ne kadar 6698 sayılı KVVK’da sosyal medya ağ sağlayıcılarına kişisel verileri Türkiye’de depolama yükümlülüğü getirilmisse de, sosyal medya ağ sağlayıcıları açısından hala nitelikli bir yaptırım olmadığından ve Türkiye’deki verileri kullanma konusunda olumsuz bakıslarından dolayı, güvenilir ülke Kabul edilmediğinden bu verileri Türkiye’de depolamamaktadır.[2]

Sosyal ağ sağlayıcılara Türkiye'de temsilcilik açma zorunluluğu getiren Sosyal Medya Yasası 1 Ekim 2020'de yürürlüğe girmişti. Buna göre, temsilcilik açmayan sağlayıcılara kademeli olarak yaptırım uygulanacak. Yasaya göre, 1 milyondan fazla kullanıcısı olan Twitter, Facebook, Instagram gibi şirketler Türkiye'de temsilcilik açacak. Temsilcilik açmayanlara, para cezasından reklam yasağına uzanan ve bant daraltılması ile sonuçlanabilecek kademeli yaptırımlar uygulanacak. Türkiye'de temsilcilik açma zorunluluğu getiren bu yasa ile hukuki ve mali muhataplık oluşmasının amaçlandığını söyleyebiliriz. Bilgi Üniversitesi Hukuk Fakültesi öğretim üyesi Prof. Yaman Akdeniz, Facebook ve Instagram’ın Türkiye’de temsilci bulundurmama kararı aldığını açıkladı. Facebook ekibinin kendisini arayarak bu bilgiyi verdiğini belirten Akdeniz, “Değerlendirme aşamasında değiller, kararlarını vermişler. Türkiye’de bir temsilci atamayacaklar” dedi.[3]Söz konusu ağ sağlayıcıları maalesef Türkiye’yi kişisel verileri koruma ve özel hayata saygı konusunda hala gelişmiş ülke düzeyinde kabul etmemektedirler.

Kişisel verilerle ilgili mevzuatımız daha yeni oluşmaktadır. Bizim açımızdan kişisel veriler yeni bir alandır. 7 Nisan 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun, 5237 sayılı Türk Ceza Kanunu (madde 135-140.), Avrupa İnsan Hakları Sözleşmesi ve T.C. Anayasası'dır.

"Kişisel veri" niteliği itibariyle aslında özel bir kanunda düzenlenmeden önce de 2005 yılında yürürlüğe giren TCK’da cezai müeyyideye bağlanmıştır. 5237 sayılı TCK ‘da “Kimliği belirli yahut belirlenebilir gerçek kişiye ilişkin her türlü veri” olarak geçmektedir. Bu kişisel verileri kaydetmenin yaptırımının hapis cezası olduğu açıkça düzenlenmiştir.

“Kişisel verilerin kaydedilmesi

Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”

Ayıca 5237 sayılı TCK madde 136'da "Verileri hukuka aykırı olarak verme veya ele geçirme" başlığı da düzenlenmiştir.

“Verileri hukuka aykırı olarak verme veya ele geçirme

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.”

5237 sayılı TCK uyarınca, verileri yok etmeme ve bilişim sistemine girme gibi hukuka aykırı eylemler içinde cezalar öngörülmüştür.

“Verileri yok etmeme

Madde 138, f.1 Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

Madde 243, f.1 Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.”

Avrupa’da kişisel verilerin korunması ile ilgili ilk uluslararası hukuk belgesi ise Kişisel Verilerin Otomatik İşleme Tâbi Tutulma Sürecinde Şahısların Korunması’na ilişkin 108 sayılı sözleşmesi'dir.

2010 yılında vuku bulan değişiklik ile Anayasanın 20. maddesine bir fıkra eklenmiş ve kişisel veriler, “Özel Hayatın Gizliliği Ve Korunması Hakkı” kapsamında Anayasal güvence altına alınmıştır:

“Özel hayatın gizliliği

Madde 20 – Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.

Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.

Herkes, kendisiyle ilgili kişisel verilerin korunmasını istemehakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Son fıkrada da görüldüğü üzere, "Kişisel veriler, ancak kanunda öngörülen hallerde veya 'kişinin açık rızasıyla' işlenebilir." ibaresi yer almaktadır. Rıza kavramını irdeleyecek olursak, TCK' ya göz atmak gerekecektir. TCK uyarınca rıza, kişinin üzerinde mutlak surette tasarruf edebileceği bir hakkına ilişkin olmalıdır. O halde mağdur ancak tasarrufta bulunabileceği bir hakkın zarar görmesine veya tehlike ile karşı karşıya kalmasına engel olabilecektir. Hukuka uygun şekilde rızasını açıklayan kişinin rızasına dayanarak bir hakkı ihlal eden kişi cezalandırılamaz.[4]

“Avrupa İnsan Hakları Sözleşmesi

Madde 8

Özel ve aile hayatına saygı hakkı

1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.

2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir. “

Toplum tarafından yeni gündem olmuş gibi gözükse de, işin aslı öyle değildir. Aslında WhatsApp halihazırda bizim verilerimizi depoluyordu Yıllardır kişisel verilerimizi depolayan ve bu verileri istihbarat servisleri ile paylaştığından şüphelenilen bu mesajlaşma uygulaması, bu sefer bunu bizim rızamızı alarak, yasal yollarla yapmaya karar verdi. Hatta sözleşmeyi onaylamazsak uygulamayı kullanamayacağımızı da net bir şekilde belirtmiş oldu. Herkesin kullandığı bu uygulama üzerinden bu kadar çok veriye Facebook tarafından erişilebiliyor olması, ulusal boyutta bir güvenlik zafiyeti ve kişisel verilerin güvenliğinin sorgulanması anlamına gelmektedir. Dünya genelinde teknolojik imkanlar, çevrimiçi kullanıcı sayısı ve toplam veri büyüklüğünün hızla artmasıyla doğan yeni fırsatların yanında, güvenlik tehditleri de ortaya çıkmaktadır. Burada sorun teşkil eden nokta; depolanan bu verilerin paylaşılıp paylaşılmayacağı meselesiydi. Paylaşıldığı konusundaki şüpheler, WhatsApp’ın son hamlesiyle ortadan kalkmış, artık verilerin paylaşıldığı konusunda bir şüphe kalmamıştır.

Peki WhatsApp Benzeri Uygulamalar Neler ve Bunlar Ne Derece Güvenli?

Son dönemde Signal, Telegram gibi uygulamalar öneriliyor. Değerlendirilip ikisi karşılaştırıldığında, iki uygulamanın da verileri depoladığı aşikârdır. Rus programcısı Pavel Durov tarafından yaratılan Telegram, Ağustos 2013'te yayın hayatına başlamıştır. Hiçbir hukuk düzeniyle korunmayan bu ülke menşeili uygulamanın, verileri Rus istihbarat servisleri ve şirketleriyle paylaşılma ihtimali göz ardı edilmemelidir.

WhatsApp ve Telegram karşılaştırıldığında; WhatsApp verilerin başkalarıyla paylaşılması yönünden ve nelerin depolanacağı hususunda öngörülebilirlik yönünden daha güvenilirdir. Telegram’ın ise, bütün verilerimizi Rus İstihbaratı ile ya da verilerin sahibi kişilerin bulunduğu ülke ile paylaşmasını engelleyecek bir hukuk kuralı olmadığı gibi, evrensel insan hakları ilkelerine bağlılıkları da olmadığı düşünüldüğünde, WhatsApp’ın güvenilirliğinin Telegram’a nazaran her halukarda daha yüksek olduğu kanısındayız. Herkesin WhatsApp kullanımını bırakmasını gerektirecek kadar problemli bir durum yoktur.

Unutulmamalıdır ki, akıllı telefon, bilgisayar, Smart TV gibi her türlü teknolojik araçlarda mevcut her tür mahrem bilgi servis sağlayıcılarına depolanabilir ve bir başkası tarafından paylaşılabilir. Teknolojinin bu denli geliştiği günümüz dünyasında, kişisel verilerimizi korumak artık çok da kolay olmayacaktır.