Kişisel Verileri Koruma Kurumu (KVKK), WhatsApp’a kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almadığı için 1 milyon 950 bin TL idari para cezası kesti.

Whatsapp’ın, veri paylaşımını içeren kullanım koşullarının ve gizlilik ilkesinin güncellenmesi ve bunların kullanıcıları tarafından onaylanmasını istemesi sonrasında 11 Ocak tarihinde Rekabet Kurumu güncellemeye ilişkin geçici tedbir kararı almıştı. Kurum Facebook ve WhatsApp hakkında resen soruşturma başlatmış, WhatsApp verilerinin paylaşılması zorunluğunun durdurulması gerektiğini açıklamıştı.
WhatsApp’ın Facebook grup şirketleriyle kullanıcı verilerinin paylaşılmasını içeren son güncellemesinin kabul edilmesi için kullanıcılara önce 8 Şubat olarak duyurduğu tarihi daha sonra 15 Mayıs’a ertelemişti. Onay vermeyen kullanıcıların WhatsApp uygulamasının özelliklerini kademeli olarak kullanamayacağı duyurulmuştu.
Rekabet Kurumu, güncellemesi Türkiye’de devreye girmeyeceğini duyurmuştu.
‘Açık rızanın özgür iradeyle açıklanması zedelendi’
KVKK’nın açıklamasında söz konusu güncelleme kapsamında ‘açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiğinin tespit edildiği’ bildirildi.
Kullanıcılardan kişisel verilerinin işlenmesine ve yurt dışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın ‘özgür iradeyle açıklanması’nın zedelendiğinin belirlendiği ifade edildi.
Whatsapp tarafından ‘belirli, açık ve meşru amaçlar için işlenme’ ve ‘işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkelerine aykırı hareket edildiğinin ortaya çıktığı aktarıldı.
Uygulamanın, Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, bu kapsamda veri sorumlusunun Kanunun 9’uncu maddesine uygun hareket etmediği kaydedildi.
Profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı ifade edildi.