KVKK’dan WhatsApp’a 2 Milyon Türk Lirası Para Cezası!

Kişisel Verilerin Korunması Kanunu çerçevesinde, kişisel verilerimizin hukumuza aykırı olarak işlenmesinin önüne geçmek adına gerekli teknik ve idari tedbirleri almayan Whatsapp'a 1 milyon 950 bin Türk Lirası idari para cezası kesildi.

Geçtiğimiz gün, İrlanda Veri Koruma Komisyonu (DPC) tarafından, WhatsApp’ın kişisel verileri kullanımına yönelik kanunsuzluk olduğu açıklanmış ve AB Genel Veri Koruma Tüzüğü’ne dayanarak mesajlaşma uygulamasına 225 milyon Euro para cezası kesilmişti.

Benzer bir haber bugün ülkemizde yaşandı. KVKK, Facebook‘un bünyesinde barındırdığı popüler mesajlaşma uygulamasına, kişisel verilerin işlenmesi konusunda kanuna aykırı işlemler bulunduğu gerekçesiyle tam tamına 1 milyon 950 bin Türk Lirası para cezası kesti.

WhatsApp KVK

WhatsApp’a KVKK’dan Rekor Ceza

Bildiğiniz üzere KVKK, popüler mesajlaşma uygulaması hakkında yurt dışına verilerin aktarılması ve şirketin benimsediği temel ilkeler konusunda resmi olarak inceleme başlatmıştı. İncelemeler sonuçlandı.

Kişisel Verileri Koruma Kurumu, uygulamayı kullananlardan açıkça rıza almadan, kullanıcılarının profillerini oluşturma amacıyla çerezleri kullanarak kişisel veriler toplandığı gerekçesiyle, WhatsApp’a 1 milyon 950 bin Türk Lirası idari para cezası kesti.

Para cezasının yanında ek bir karar daha alındı. Şirketin Hizmet Koşulları ve Gizlilik İlkesi adı altında bulunan tüm metinlerin Kanuna uygun hale getirilmesi talep edildi. Bu işlem için Facebook’un sahibi olduğu mesajlaşma uygulamasına üç aylık bir süre tanındı.

Hizmet Koşulları ve Gizlilik İlkesi hakkında: ”Hizmet Koşullarının ve Gizlilik İlkesi metinlerinin incelenmesi neticesinde; temel olarak veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığı, Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe giremeyeceğinin belirtildiği görüldü.” ifadesine yer verildi.

KVKK WhatsApp

KVKK’nın Açıkladığı Tam Metin ise Şu Şekilde:

  • Veri sorumlusu tarafından söz konusu uygulama kapsamında çeşitli kişisel veri işleme faaliyetleri bakımından farklı veri işleme şartlarına dayanıldığı ve kişisel veri işlemeye yönelik açık rıza şartının ise istisna olarak başvurulan bir şart olduğu belirtilse de Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlaması nedeniyle sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidildiği, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusu tarafından Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu kapsamda ilgili kişilerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak veri sorumlusunun bu uygulamasının Kanunun 4’üncü maddesinde yer alan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
  • İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı, bu hususta veri sorumlusunca Kanunun 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
  • WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirilmek suretiyle ilgili kişilerden sözleşmeye onay vermelerinin istenildiği ve sonrasında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı başta olmak üzere diğer kişisel veri işleme şartlarına dayanılarak kişisel verilerinin işlendiğinin beyan edildiği ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle alınan açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği, bununla birlikte veri sorumlusunca Kurulumuza bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9 uncu maddesine uygun hareket edilmediği,
  • Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı anlaşıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına karar verilmiştir.

Cevap Yazın

E-posta adresin yayınlanmayacak.

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Şifremi Unuttum

Kayıt Ol