Etiket arşivi: güncelleme

Whatsapp Güncellemesi ve Veri Güvenliği

Bir Cevap Yazın
Whatsapp Güncellemesi ve Veri Güvenliği | Whatsapp Güncellemesi

İçindekiler

Herkesin Konuştuğu Yeni Güncelleme Ne Getiriyor?

Whatsapp, geçtiğimiz günlerde duyurduğu politika değişikliği ile aşağıda belirtili kalemlerde bir takım farklı düzenlemelere gitmekte olduğunu belirtti. Konuya ilişkin farklı uzmanlarca Facebook ve dolayısıyla Whatsapp tarafından halihazırda zaten paylaşılmakta olduğu ifade edilmekte ise de aşağıda detaylandırılacağı üzere bu veri işleme faaliyetine ilişkin olarak kullanıcılara bir onay dayatılması söz konusu olmuştur. Bu kapsamda değişikliğe gidildiği ifade edilen konu başlıkları;

  • WhatsApp hizmeti ve verilerinizi nasıl işlediğimiz,
  • İşletmelerin, WhatsApp sohbetlerini saklamak ve yönetmek için Facebook tarafından barındırılan hizmetleri nasıl kullandığı,
  • Facebook Şirket Ürünleri’nde entegrasyonlar sunmak için Facebook ile nasıl çalıştığımız

Facebook şirketler ailesine 2014 yılında katıldık. Facebook şirketler ailesinin bir parçası olan WhatsApp, bu şirketler ailesinden bilgi alır ve bu şirketlerle bilgi paylaşır. Hizmetlerimizin ve bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler. Altyapı ve yayın sistemlerini iyileştirmeye, bizim veya bu şirketlerin sunduğu Hizmetlerin nasıl kullanıldığını anlamaya, sistemleri güvende tutmaya ve istenmeyen içerik, kötüye kullanım veya ihlal davranışlarıyla mücadele etmeye yardımcı olmak buna dahildir. Facebook ve Facebook ailesindeki diğer şirketler de, hizmetlerindeki deneyimlerinizi iyileştirmek için bizden aldıkları bilgileri kullanabilir. Ürün tavsiyelerinde bulunmak (ör. arkadaş, bağlantı veya ilgi çekici içerik önerileri) veya sizinle alakalı teklif ve reklamlar göstermek buna örnek olarak verilebilir. Bununla birlikte, WhatsApp mesajlarınız Facebook’ta diğer kişilerin görebileceği şekilde paylaşılmaz. Hatta Facebook, WhatsApp mesajlarınızı Hizmetlerimizi yürütmemizi ve sunmamızı kolaylaştırmak dışında başka hiçbir amaçla kullanmaz.

WhatsApp Güncellemesinden Bir Kısım

Peki bu değişiklikler neyi ifade ediyor? Facebook tarafından yapılan bildirimlerde güncellemenin 8 Şubat 2021 tarihinde yürürlüğe gireceğinden bahsedilmekte, kullanıcılar koşulları kabul etmezlerse WhatsApp’ı kullanmaya devam edemeyecek.  Bu durum Avrupa’da bulunan kullanıcıları kapsamamakla birlikte sadece Türkiye’ye özgü bir durum değil.

Söz Konusu Değişikliklerin KVKK Açısından İncelenmesi

Kişisel Verileri Koruma Kurumu Tarafından Yapılan Açıklama

Kişisel Verileri Koruma Kurumu taraıfndan 11.01.2021 tarihinde gerçekleştirilen açıklamada “Whatsapp Inc tarafından WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların bu uygulamayı kullanamayacağı ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği anlaşılmaktadır. Bu kapsamda, Kişisel Verilerin Korunması Kanununun 15 inci maddesi uyarınca Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli toplantısında konu, kişisel verilerin korunması mevzuatı genel hükümleri ile Kanunun açık rıza, veri işleme şartları, yurtdışına veri aktarımı ve temel ilkeler yönünden değerlendirilecek olup, gelişmeler hususunda kamuoyu ayrıca bilgilendirilecektir.” ifadeleri ile 12.01.2020 tarihinde konuya ilişkin toplanacak olduğunu duyurmuştur. İlgili açıklamaya buradan ulaşabilirsiniz.

12.01.2021 tarihinde ise kurum tekrar bir duyuru yaparak özetle; ” …2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir. Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.” ifadelerine yer verilmiştir. Karar metni için buradan ulaşabilirsiniz.

Whatsapp ile Paylaşılan Veriler

Whatsapp Gizlilik Politikalarını incelediğimizde aşağıdaki kişisel verilerin incelenmekte olduğu anlaşılmaktadır.

Sizin Sağladığınız Bilgiler

  • Hesap Bilgileriniz.
  • Mesajlarınız.
  • Bağlantılarınız.
  • Durum Bilgisi.
  • İşlem ve Ödeme Verileri.
  • Müşteri Desteği ve Diğer İletişimler.

Otomatik Olarak Toplanan Bilgiler

  • Kullanım ve Kayıt Bilgileri.
  • Cihaz ve Bağlantı Bilgileri.
  • Konum Bilgileri.
  • Çerezler.

Açık Rıza ve Veri İşleme Şartları Açısından Whatsapp Güncellemesi

Yukarıda yer verili kişisel veriler incelendiğinde bu bilgilerin 6698 Sayılı KVKK kapsamında kişisel veri olarak nitelendirilmekte olduğu bu sebeple ilgili yasanın 5. maddesi kapsamında incelenmesi gerektiği anlaşılmaktadır.

Kişisel verilerin işlenme şartları

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6698 Sayılı Kişisel Verileri Koruma Kanunu (KVKK) kapsamında kişisel veri işlemekte bulunan veri sorumluları tarafından kanunun 5. ve 6. maddesi kapsamında düzenlenen hukuka uygunluk sebeplerinden bir tanesinin bulunması gerekmektedir. Whatsapp Gizlilik Politikaları kapsamında beyan edilen verileri incelediğimizde bu verilerin özel nitelikli kişisel veri kategorisinde değil ama kişisel veri kategorileri kapsamında değerlendirilmekte olması sebebi ile kanunun 5. maddesi kapsamında gerekli incelemenin yapılması gerekmektedir.

5. Madde 2. Fırka kapsamında yer alan hukuka uygunluk sebepleri açısından bir incelemelerin yapılması gerekir ise;

a) Kanunlarda Öngörülme | Whatsapp tarafından gerçekleştirilen değişiklik kapsamında kanuni bir dayanağın bulunmadığı aksine işletmesel bir karar olduğu değişiklik metninden ve açıklamalar üzerinden anlaşılmaktadır. Dolayısıyla a bendi kapsamında uygulanması mümkün değildir.

b) Fiili İmkansızlık | Whatsapp tarafından verileri işlenmekte olan ilgili kişiselere ulaşma açısından bir imkansızlık söz konusu değildir.

c) Sözleşme İle Doğrudan Doğruya İlgili Olma | Whatsapp tarafından kişisel verilerin grup firmalar ile paylaşılacak olması sözleşme kapsamında bir zorunluluk arz etmeyecektir.

d) Alenileştirme | Alenileştirme söz konusu değildir.

e) Hakkın tesisi | Söz konusu veri işleme faaliyeti bir hakkın tesisine ilişkin değildir.

f) Meşru Menfaat | Bahse konu veri işleme faaliyetinin Denge Testini geçemeyecek olduğu kanaatindeyim. Konuya ilişkin yazımıza buradan ulaşabilirsiniz.

Yukarıda oldukça temel bir şekilde değinildiği üzere Whatsapp güncellemesi nezdinde yapılacak yeni veri işlemesi faaliyeti KVKK Madde 5 Kapsamında yer alan hukuka uygunluk sebeplerinden herhangi birini karşılamamakta olup; konuya ilişkin geçerli bir açık rızanın alınması gerektiği anlaşılmaktadır.

Açık rıza ise kanun kapsamında belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmakta olup; uygulama bünyesinde verilen kabul et ya da terk et yaklaşımı neticesinde verilen onaylara ilişkin bir açık rızanın varlığından bahsetmek mümkün değildir. Dolayısıyla temel unsuları taşımayan bir açık rızanın geçerli olmayacağı ve Whatsapp neticesinde alınan açık rızanın geçersiz olduğu başkaca da herhangi bir hukuka uygunluk sebebinin mevcut olmadığı gözetilerek yapılan işlemin KVKK’ya açık aykırılık teşkil edeceği açıktır. Konuya ilişkin bir çok kurul ilke karar ve açıklamasında da bu husus net bir şekilde vurgulanmakta olup; hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı vurgulanmaktadır.

Temel İlkeler Yönünden Whatsapp Güncellemesi

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun kapsamında temel ilkeler madde 4 kapsamında düzenlenmiştir. KVKK Başkanı Prof. Dr. Faruk Bilir çeşitli konuşma ve eğitimlerde belirttiği üzere söz konusu madde bir anlamda kanunun en önemli maddesi olarak da nitelendirilebilir. Kanun kapsamında gerçekleştirilecek olan tüm veri işleme faaliyetlerinin söz konusu ilkelere uygun olarak gerçekleştirilmesi gerektiği kurul kararlarında sürekli olarak vurgulanmaktadır.

Whatsapp güncellemesi ile belirtilen değişiklikler kapsamında kullanıcıların kişisel verilerinin grup firmaları ile paylaşılması söz konusu ilkeler nezdinde gözetildiğinde bahse konu veri işleme faaliyeti belirli, açık ve meşru amaçlar için işlenme ilkesi ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında da aykırılık teşkil edecektir.

Yurdışına Veri Aktarımına İlişkin KVKK Hükümleri Kapsamında Whatsapp Güncellemesi

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin yurtdışına aktarımına ilişkin düzenleme madde 9 kapsamında yer verilmiştir. İlgili madde kapsamında veri aktarımı yapılacak ülkenin güvenilir ülke olup olmadığına göre farklı yaklaşımlar izlenilmeke birlikte içerisinde bulunduğumuz tarih itibari ile ülkemiz tarafından kanunda belirtildiği anlamı ile güvenilir bir ilke olmaması ve yapılan taahhüt başvurularının tümünün reddedilmiş olması sebebi ile ilgili madde kapsamında açık rıza dışında veri aktarım seçeneğinin olmadığı anlaşılmaktadır. Yukarıda da özetle belirtilmiş olduğu üzere Whatsapp tarafından yapılan duyuru özgür iradeye dayanmamakta olup; geçerli bir açık rıza olarak kabul edilmesi mümkün bulunmamaktadır.

Whatsapp’ın Çifte Standardı

Whatsapp internet sitesi üzerinde halihazırda mevcut (11.01.2021 tarihli) politikları incelediğimize aşağıdaki ibare ile karşılaşmaktayız. Avrupa Bölgesinde ikamet ediyorsanız, Hizmetler size WhatsApp Ireland Limited tarafından bu Hizmet Koşulları ve Gizlilik İlkesi kapsamında sunulur.

Peki Avrupa ve geri kalan ülkeler arasında farklı bir uygulamaya gidilmesinin sebebi nedir? Birince ve belki de en önemli sebep GDPR, yani Avrupa Birliği Genel Veri Koruma Tüzüğü. Söz konusu kanunu Avrupa kapsamında yürürlükte olan kişisel verileri koruma mevzuatı olarak da nitelendirmek hatalı olmaz. Avrupa Birliği kapsamında yürürlükte olan mevzuat ile Avrupa Birliğinde yerleşik kimselerin verileri korunmakta ve aykırılıklara ilişkin yüksek meblağlarda yaptırımlar uygulanmaktadır. Bu konuda ilgili ülkelerin veri koruma otoriteleri tarafından sıkı denetimlerin gerçekleştirdiğini ifade etmek de yanlış olmayacaktır.

Facebook’a Türkiye’de Daha Önce Kişisel Verilere İlişkin 3.500.000-TL‘nin Üzerinde Yaptırım Uygulanmıştı

Whatsapp’ın sahibi olan Facebook, Amerika’da Cambridge Analythica olayları kapsamında rekor bir miktar, 5 Trilyon Dolar idari para cezasına çarptırılmıştı. Hala fırsatınız olmadı ise konuya ilişkin olarak Great Hack ve Terms and Conditions May Apply belgesellerine bir göz atmanızı tavsiye ederiz. Facebook’un sicilini incelediğimizde Avrupa’dan Amerika’ya bir çok soruşturma kapsamında yaptırım ile karşılaştığı bilinmekte olup; Türkiye’de de durum pek farklı değil. Kişisel Verileri Koruma Kurumu tarafından geçtiğimiz yıllarda iki farklı ilke kararında şirkete toplam Üç Buçuk Milyon Türk Lirasının üzerinde yaptırım uygulanmıştır.

Facebook hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Karar Özeti

Facebook temsilcisi tarafından Kuruma yapılan bildirimin akabinde gerçekleştirilen incelemede, Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlalinin gerçekleşmiş olduğu ve Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması ve veri ihlali hakkında Kuruma bildirim yapılmadığı gözetilerek toplam 1.600.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

Facebook hakkında Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı  Karar Özeti

Karara konu olayda “veri gizliliğine/mahremiyetine” aykırı bir husus olması sebebiyle veri ihlali olduğu ve bu ihlalin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrası kapsamında Facebook tarafından Kurul’a bildirilmesi gerektiği ancak herhangi bir bildirimin yapılmadığı tespit edilmiştir. Karar kapsamında ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL, tespit edilmesine rağmen Kuruma bildirim yapılmadığından kanunun 12 inci maddesinde yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL olmak üzere toplam 1650.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

Whatsapp Güncellemesi & Rekabet Hukuku

Rekabet Kurulu’nun 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında Facebook grup şirketleri hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edip edilmediğinin tespiti amacıyla resen soruşturma açılmıştır. Bahse konu kararda ayrıca telafi olunamayacak zararlar doğurma ihtimali olması sebebi ile geçici tedbir alınması ve Facebook’un Türkiye’de, WhatsApp kullanıcılarının verilerinin 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları DURDURMASI ve bu koşulları kabul eden veya bilgilendirmeyi alarak kabul etmeyen tüm kullanıcılara Facebook’un veri paylaşımını içeren yeni koşulları durdurduğunu anılan tarihe kadar BİLDİRMESİ gerektiğine karar verilmiştir. İlgili duyuru için buraya tıklayabilirsiniz.

Ayrıca benzer bir konuya ilişkin olarak Alman Federal Rekabet Kurumunun (Bundeskartellamt) 06.02.2019 tarihli Facebook kararı’nın burada tekrarlanması faydalı olacaktır. Alman rekabet otoritesi ilgili kararı ile Facebook’un veri işleme politikasına ilişkin getirdiği sınırlamalar Facebook’u Almanya’daki kullanıcılarına uyguladığı hizmet şartlarını değiştirmek zorunda bırakmış olup;  Almanya’da yerleşik olan ve aynı zamanda facebook’un sahibi olduğu WhatsApp, Oculus, Masquerade ve Instagram olmak üzere diğer kurumsal hizmetlerden de faydalanan kullanıcıların verilerinin, Facebook.com kullanıcı hesaplarındaki verilerle, kullanıcıların “gönüllü rızası” olmadan işlenmesini yasaklamaktadır. *

*(Kaynak : https://hamdipinar.blogspot.com/2021/01/whatsapp-ve-facebook-turkiyede-ne.html)

Whatsapp Alternatifleri İçin Dikkat Edilmesi Gereken Hususlar.

Whatsapp tarfından yapılan söz konusu açıklama nezdinde mahremiyet ekseninde Signal, Telegram ve Bip gibi alternatif uygulamalara adeta bir kullanıcı göçü gerçekleştiği görülmektedir. Fakat burada dikkat edilmesi gereken bir kaç hususun hatırlatılmasında fayda var.

  1. Tercih edilecek uygulamaların gizlilik politikaları mutlaka incelenmelidir.
  2. Uçtan-uca şifreleme gibi güvenlik tedbirlerinin mevcut olması, çok faktörlü kimlik doğrulama olması gibi teknik tedbirler incelenmelidir.
  3. Yazılımcı şirketlerin daha önce gizlilik kapsamında aldığı kararları, konuya ilişkin tutumları araştırılmalıdır.
  4. Yazılım şirketinin genel merkez adresi, bulunduğu ülke incelenmelidir.
Kaynak: https://teyit.org/analiz-whatsappin-degistirdigi-gizlilik-sozlesmesi-hakkinda-iddialar

Whatsapp Tarafından Güncellenme Tarihi Ertelendi

Whatsapp tarafından yapılan 15.01.2021 tarihli açıklama ile karşılaşılan tepkiler akabinde, Whatsapp hakkında yayılan “yanlış bilgiler” sebebi ile güncellemenin 15 Mayıs tarihine ertelendiğine ilişkin açıklama gerçekleştirildi.

We’re now moving back the date on which people will be asked to review and accept the terms. No one will have their account suspended or deleted on February 8. We’re also going to do a lot more to clear up the misinformation around how privacy and security works on WhatsApp. We’ll then go to people gradually to review the policy at their own pace before new business options are available on May 15.

https://blog.whatsapp.com/giving-more-time-for-our-recent-update

İleri Okuma İçin Tavsiye Çalışmalar

Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;

Adres: Karşıyaka Tower No:12 Kat:9 Daire:59 Karşıyaka/İzmir

E-posta: info@efeshukuk.com

Telefon: +90 553 463 7079