WHATSAPP SÖZLEŞMESİNİN AVRUPA’YA ÖZEL UYGULANMASININ TEMELİNDE YATAN GÜÇLÜ ETKEN “YARGI”

22
Mar2021

WHATSAPP SÖZLEŞMESİNİN AVRUPA’YA ÖZEL UYGULANMASININ TEMELİNDE YATAN GÜÇLÜ ETKEN “YARGI”

Whatsapp sözleşmesi son günlerin en çok tartışılan konularının başında gelmektedir. Bunun sebebi ise, Whatsapp’ın sunduğu hizmetin, kullanıcılarından, hizmetin kullanıcılarının verilerini Facebook ile paylaşmasına ve e-ticareti kolaylaştırmasına olanak tanıyan yeni güncellenmiş şartlarını kabul etmelerini istemiş olması. Esasen Facebook’un Whatsapp’ı 2014 yılında satın alması ile birlikte veri paylaşımı konusunda değişiklikler yapması beklenir bir durumdu, çünkü Facebook’un Whatsapp ‘ı satın alması sıradan bir olay değildi. Nitekim 2016 yılından beridir de Whatsapp kullanıcılarının verileri Facebook ile paylaşılmaktaydı.

Facebook’un veri paylaşımı ve gizlilik konusunda güvenilmez olduğunu söylemek ve bu satın alım sonrasında değişimler beklemek çok normal. Facebook verileri kazanca dönüştürmek uğruna adı skandala karışmış olan bir uygulamadır. Facebook’un sarsılan itibarını geri kazanması hiç de kolay değildir. ( Cambridge Analytica skandalı: İngiliz siyasi danışmanlık firması olan Cambridge Analytica, 2014 yılında yaklaşık 50 milyon Facebook kullanıcısının kişisel olarak tanımlanabilir bilgilerini toplamış ve elde edilen veriler, bu kişileri işe alan politikacılar adına seçmenlerin fikrini etkilemek için kullanılmıştır. (https://tr.wikipedia.org/wiki/Facebook-Cambridge_Analytica_veri_skandal%C4%B1) )

Gündemdeki sözleşme değişikliği ise, WhatsApp’ın işletme hesabı (WhatsApp Business) olan kullanıcılarının sürdürdüğü iletişimin depolanması ve paylaşılmasını içermektedir. Bunun yanında, 2016 yılında gizlilik ve veri paylaşımı kurallarıyla ilgili yapılan büyük güncellemede kullanıcılara bazı verilerin Facebook ile paylaşılmasını devre dışı bırakabilmeleri seçeneği verilmiş iken artık yeni sözleşmeyle bu seçenek uygulamadan kaldırılmıştır. Yani uygulamayı kullanmak için kullanıcının tek seçeneği sözleşmeyi kabul etmek haline getirilmiştir.

Peki Whatsapp hangi bilgilere erişiyor ve bu veriler neden bu kadar değerliler? WhatsApp ve Facebook mesajların içeriğini görüntülemiyor, yani mesaj içeriklerine erişemiyor. Bu durumda bilgilerimize de erişmiyor gibi görünebilir. Bu bilgi ilk başta rahatlatıcı bir etki yaratsa da, Whatsapp’ın mesaj içeriklerinden çok daha etkili verilere ulaştığını açıklamakta fayda vardır. WhatsApp’ın Facebook ile paylaştığı veriler arasında telefon numaranız, WhatsApp’ı ne kadar süre ve ne kadar sıklıkla kullandığınız, diğer kullanıcılarla nasıl bir etkileşim içinde olduğunuz, cihazınızla ilgili bilgiler, IP adresiniz, işletme sisteminiz, tarayıcı verisi, bataryanın sağlığı, uygulamanın versiyonu, mobil ağ, dil ve zaman dilimi ve (başlangıçta onayınızı almış ise) ödeme verileriniz ve konumunuz yer alıyor.

Aslında mesajlarınızın içeriğinden daha değerlisi bağlantı kurduğumuz kişiler, zamanlar, konumlar v.b. veriler. Bu nedenle de WhatsApp ve Facebook uygulamayı neden kullandığımızı değil, nasıl kullandığınızı anlamak ve öğrenmek istiyor.

Johns Hopkins Üniversitesi’nden kriptolog Matthew Green’in söylemi ile “WhatsApp mesajlarınızın içeriğine dair gizliliğinizi korumakta gayet iyi. Diğer her şeye dair gizliliğiniz ise ihlal ediliyor gibi gözüküyor” . Sanal güvenlik şirketi Cyjax’ın bilgi güvenliği görevlisi Ian Thornton-Trump’ın, “Metaveri de sizin verilerinizle ilgili bir veri. Verinin kendisi kadar güçlü olabilir” sözleri ve Siber güvenlik uzmanı Zak Doffman’ın “Eğer telefonunuzun numarası ya da cihazınızın kimliği sayesinde sizi çeşitli uygulamalarla eşleştirebilirsem, sizin metaverinizi de diğer bildiğim her şeye bağlayabilirim” cümlesi aslında ufak sandığımız verilerin ne kadar değerli olabildiğini anlatmaya yetiyor. (https://www.bbc.com/turkce/haberler-dunya-55610827)

Hiç kuşkusuz, bahsi geçen tüm uygulamaların bedava oluşu, ürünün kullanıcı olduğu gerçeğini ortaya koymaya yetmekte, ancak kullanıcıların bu gerçeğe ve haklarına vakıf olarak kullanımlarını sürdürmeleri de oldukça önemli.

Gelelim Whatsapp’ın uygulamasının ve kullanıcılarından imzalamalarını istediği sözleşmenin Avrupa ve diğer ülkeler bağlamında farkına. Bu fark ilk olarak Whatsapp gizlilik ilkelerinde göze çarpmaktadır. Whatsapp’ın gizlilik ilkelerine dair açıklamasının başında aynen şu ifadeye yer verilmiştir: “…Avrupa Birliği’ndeki ülkeleri kapsayan “Avrupa Bölgesi” birinde yaşıyorsanız WhatsApp hizmetleriniz, aynı zamanda WhatsApp hizmetlerini kullandığınızda bilgilerinizin veri sorumlusu olan WhatsApp Ireland Limited tarafından sağlanır… Yukarıda belirtilen ülke veya bölgelerden birinde yaşamıyorsanız WhatsApp hizmetleriniz WhatsApp LLC tarafından sunulur…” (https://www.whatsapp.com/legal/privacy-policy)

Peki bunun anlam nedir?

WhatsApp uygulamasının kullanıcıları yönünden ikili bir ayrıma gidilmiştir.

  • Avrupa birliği bölgesi dışındaki kullanımlarda, kullanıcıların bilgilerinin Amerika Birleşik Devletleri’ne ve dünya çapında sahip olduğu veya kullandığı tesislerin, hizmet sağlayıcıların veya ortakların bulunduğu diğer ülkelere aktarılabileceği, işlenebileceği ifade edilmektedir. Bu durumda kullanıcılar yaşadıkları ülkeden bağımsız olarak ayrıca bilgilerin depolandığı veya işlendiği ülkenin yasa, mevzuat ve standartlarına da tabi olacak ve bu yasal farklılığı kabul etmiş olacaklardır.
  • Avrupa Birliğiülkelerinde ise hem sözleşmenin kabulü hem de verilerin depolanması ve aktarımı konularında ayrımcı farklılıklar göze çarpmaktadır. Avrupa  Birliği ülkelerindeki WhatsApp kullanıcıları bahsi geçen sözleşmeye rıza göstermeme ve uygulamayı kullanmaya devam etme hakkına sahiptirler. Uygulamanın topladığı veriler de yine Avrupa’da kalacak şekilde İrlanda’da tutulmaktadır.  Yani verilerin  Amerika’ya aktarımı ve sözleşmenin imzalanmasının zorunlu tutulması söz konusu değildir.

Avrupa Birliği ülkelerinde gerek tüketici gerek ise kişisel hakları savunan yasal düzenlemeler ve uygulayıcılar olması, Avrupa Birliği ülkeleri lehine ciddi bir ayrıcalık yaratmaktadır.

Hiç kuşkusuz ki Genel Veri Koruma Tüzüğü (GDPR) varlığı ile yargıya temel teşkil etmekte ve Kişisel Verilerin Korunması gerektiği bilincinin temellerini atmaktadır. Anccak gözden kaçırılmaması gereken çok güçlü bir etken daha vardır. Tüzüğün uygulamadaki karşılığını oluşturan yargı kararları. Tam da bu noktada AB Adalet Divanının  ( ABAD ) ,  16 Temmuz 2020’de yayınlanan Schrems II davası C-311/18 kararını gözden kaçırmamak gerekir.

ABAD bu kararı ile; “Gizlilik Kalkanı” kararını geçersiz kılmış ve AB dışındaki ülkelere veri aktarımında taraflar arasında akdedilmesi gereken ve taraflar arasındaki sorumluluk sınırlarını çizen ve benimsenmesi gereken maddelerin yer aldığı SCC (Standart Sözleşme Maddeleri) geçerliliğini tartışmıştır.

  • Öncelikle “Gizlilik Kalkanı” kararına değinmek gerekirse; (12 Temmuz 2016 tarihli ve 2016/1250 sayılı) Avrupa Komisyonu tarafından,  Avrupa Birliği ve ABD arasında gerçekleşen kişisel veri alışverişlerinde yeterli korumanın sağlandığı karara bağlanarak kabul edilmiştir. Gizlilik Kalkanı (Privacy Shield) adı verilen bu karar uyarınca, ABD’nin, Avrupa Birliği’nden ABD’de bulunan ve Gizlilik Kalkanı kapsamında olan organizasyonlara aktarılan kişisel veriler için uygun seviyede koruma sağladıkları kabul edilmişti. Burada amaçlanan, devam eden ve gelecekteki uluslararası transferlerin AB veri koruma yasasına ve GDPR uygulamalarına uygun olarak gerçekleştirilmesi idi. Ancak, AB Komisyonu, AB ülkelerinde mevcut yasal düzenlemeler ve GDPR uygulamaları ile garanti edilen ve korunan kişisel verilerin, ABD tarafından ABD’nin çıkar ve amaçları doğrultusunda erişilme ve işlenme riski altında olabileceği değerlendirmesi yapmış, böylece ABD’nin GDPR’ın gerekliliklerini göz ardı ettiği sonucuna varmış ve Gizlilik Kalkanı kararını geçersiz kılmıştır. Böylece Gizlilik Kalkanı Kararı (Privacy Shield) AB’den ABD’ye yapılan ve yapılacak kişisel veri aktarımları için dayanak olmaktan çıkmıştır. Böylelikle yasal mevzuat ve GDPR uygulamalarının yanında, bağlayıcı ve emsal teşkil eden bir yargı kararı da ortaya çıkmıştır. Karar açık ve net şekilde, kişisel bilgilerin veya verilerin Amerika Birleşik Devletleri’ne aktarılması sonrasında verilere yeterli seviyede koruma sağlanamayacağını ifade etmektedir.

 

  • SCC (Standart Sözleşme Maddeleri); Kişisel verilerin, AB’deki veri denetleyicilerinden Avrupa Ekonomik Alanı (EEA) dışındaki yargı bölgelerindeki veri işleyicilerine aktarılacak olması durumunda, Avrupa Komisyonu tarafından benimsenen standart sözleşme maddelerinin uygulanması gerektiğine ilişkindir. ( 2010/87 / AB ). Yani, Standart Sözleşme Maddeleri ile AB ülkelerinden, kişisel veriler için yeterli koruma sağlamadığı öngörülen ülkelere aktarılan kişisel veriler için, yeterli koruma sağlamak üzere Avrupa Komisyonu tarafından onaylanan ve uygulanması gereken bir çeşit önlem ve koruma mekanizması oluşturulmuştur. ABAD Kararı ile;   SCC (Standart Sözleşme Maddeleri) ortadan kaldırılmamış, ancak işlevinin daha güçlü hale getirilmesi amaçlanmıştır. Yani, Standart Sözleşme maddeleri uygun seviyede koruma sağlamanın yollarından biri olmakla beraber, veri aktaran veri sorumlusu veya veri işleyenin uygun korumayı temin etmek için gerekli olan ilave önlemleri de alması gerektiği belirtilerek, bu konuda rehberlik edecek bir karar verilmiştir.

Özetle, kişisel verilerin aktarımı ve işlenmesi konusunda ABD’nin, AB mevzuatı ve GDPR bağlamında  yeterli seviyede koruma sağlayamayacağına dair kanaat ve yargı kararı oluşmuştur. Bu kanaatin, verileri ABD’ye aktararak çalışmakta olan, kullanıcı sayısının (dolayısıyla da kişisel veri miktarının) milyonları aştığı Facebook ve Whatsapp yönünden de mevcut olduğunu söylemek yanlış olmayacaktır. Nitekim , AB yönünden yargı kararı ile de ortaya konulmuş bu kanı ve bakış açısının Whatsapp ve Facebook gizlilik ilkelerine, sözleşme değişikliklerine ve uygulamalarına “Avrupa Birliği ülkeleri ve diğerleri” şeklinde yansıdığı ortadadır.

Sonuç olarak, AB mevzuatının, uygulayıcılarının, kurum ve yargı makamlarının istikrarlı, temele dayalı ve çelişkisiz tutumları, Whatsapp ve Facebook özelinde ciddi etki ve verilerin korumak yönünden olumlu sonuçlar yaratmıştır. Umuyoruz bu etki, (Avrupa ülkeleri dışındaki) diğer ülkelerin de dikkatini çekecek ve kişisel verilerin korunması için etkili ve istikrarlı kararlarla (daha fazla) karşılaşmak mümkün olacaktır.

Av. MELEK ATALAN

 

Leave your comment

Please enter your name.
Please enter comment.