WhatsApp Sözleşmesi aslında ne anlatıyor?

Herkese merhabalar, 2021 yılı umarım herkes için güzel, umut dolu başlamıştır. Bana ilk ayından itibaren şans getirdi ve işlerim hedeflediğim bir sonraki aşamaya ulaştı. Sizin için de güzel bir yıl olması dileğiyle yazıma başlıyorum. Herkesin birbirine sormaya başladığı “WhatsApp’ı silecek misin, yoksa devam edecek misin?” sorularına belki cevap niteliğinde bir hukuki değerlendirme olacak. 4 Ocak 2021 sabahı cep telefonlarımızda “WhatsApp” tarafından sözleşme değişikliğine gidileceğine ilişkin bir uyarı ile karşılaştık.

Sözleşmedeki “Gizlilik İlkesi” gereğince onay vermemiz halinde verilerimizin Facebook ve bağlı şirketleri ile paylaşılacağı, onay vermememiz halinde ise bu uygulamayı belirtilen tarihten sonra kullanamayacağımızı öğrendik. Bu değişiklik birçoğumuzu tedirgin etti ve her yerde bu konu konuşmaya başlandı. Sonuçta WhatsApp’ın veri paylaşıma ilişkin sözleşme değişikliği bir anda ülkemizin gündeminin baş köşesine oturuverdi. WhatsApp’ın yapmaya çalıştığı (ya da daha doğru bir deyişle dayattığı) sözleşme değişikliği nedeniyle haklı olarak korkuya kapılan ve çekinen pek çok kullanıcı bir anda Telegram, Signal veya BİP gibi mesajlaşma platformlarına geçiş yapmaya başladı. Tabii bir yandan hepimizin aklında ardı arkası kesilmeyen sorular oluştu; zira bu süreçte WhatsApp uygulaması iş yaşamımızdan özel yaşamımıza kadar hayatımızın her alanına çoktan girmişti.

Bu değişiklik öylesine önemsendi ki ülkemizde, Twitter üzerinden “WhatsApp Siliyoruz” hashtagi ile uygulamaya karşı boykotlar ve toplu eleştiriler başladı. Aslında bu bir bakımdan oldukça iyi bir gelişme oldu. Böylelikle toplumun büyük bir çoğunluğu son derece önemli olan kişisel veri güvenliği konusunda farkındalık edindi, hatta aydınlanma yaşadı. Bunu da bu sürecin önemli bir yanı ve kazanımı olarak dikkate almalıyız. İşte bu yazımda kullanıcıların verilerin paylaşılması noktasında bu derece radikal bir farkındalık yaşamasına neden olan mobil uygulamaları, bunların kişisel verilerin güvenliğe yaklaşımlarını ve konunun hukuki boyutunu değerlendirmeye çalışacağım.

Sözleşmede “Hizmetlerimizin yürütülmesi, sağlanması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla WhatsApp; hizmetlerimizi ne zaman yüklediğiniz, kullandığınız veya hizmetlerimize ne zaman eriştiğiniz dahil olmak üzere bazı bilgileri almak ve toplamak zorundadır. Aldığımız ve topladığımız veri türleri, hizmetlerimizi nasıl kullandığınıza bağlıdır. Hizmetleri sağlamak için belirli bilgilere gereksinim duyarız ve bunlar olmaksızın hizmetlerimizi size sağlayamayız. Facebook şirketlerinin bir parçası olan WhatsApp, diğer Facebook şirketlerinden bilgi alır ve bu şirketlerle bilgi paylaşımında bulunur. Hizmetlerimizin ve Facebook şirketi ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler” ifadesi yer almakta.

6698 sayılı KVKK kapsamında “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” diyerek kişisel veri kavramını koruma altına aldığı görülmektedir. Kanunun 2. maddesi kapsam olarak “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” diyerek gerçek ve tüzel kişileri kanun kapsamında sorumlu tutmuştur.

Bakıldığında 6698 sayılı KVKK, esas itibari ile kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamış olmakla bu kavramı oldukça geniş yorumlamaktadır. Yani bu tanımdan hareketle kişisel veri kavramının içine bilindiği üzere, kişinin isim, telefon numarası, özgeçmiş, resim, görüntü, ses kayıtları, parmak izleri, genetik bilgiler gibi veriler de girmektedir. Haliyle WhatsApp gibi bir sosyal mecrada, kullanıcı kendi özel veya iş hayatına dair pek çok kişisel veri bulunmakta ve depolanmaktadır. Bu yönüyle WhatsApp’ın getirdiği bu sözleşme maddeleri kullanıcı olan herkesi ilgilendirmekte ve kişisel veri kavramının mahiyetinin önemini bir kez daha göstermektedir.

Kişisel veri kavramı 5237 sayılı Türk Ceza Kanunu’na da cezai nitelikli hükümler konularak, kişisel veriyi hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme gibi fiiller suç olarak düzenlenmiştir. Böylesi önemli bir kavram olan gerçek kişiye ait kişisel verinin, iç hukukta kanunlarla, uluslararası alanda sözleşme ve ek protokollerle korunma altına alınmasına rağmen Whatsapp’ın yayınladığı sözleşme metni ile, kullanıcılara ait olan her türlü kişisel veriyi işlemesi ve paylaşması hukuka uygun olacak mıdır?

KVKK madde 5’e göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez denmektedir. Bilindiği üzere hukukta genel bir ilke olan rızanın hukuka aykırılığı ortadan kaldıran bir hal olarak düzenlendiği görülmektedir. Gönderilen sözleşmede WhatsApp kullanıcılara ait olan kişisel verinin paylaşılmasına rıza gösterenlerin verilerini paylaşacağını, 8 Şubat’a kadar söz konusu sözleşmeyi kabul etmeyen kullanıcıların kişisel verilerin işlenmemesi gerektiği düşüncesine karşı artık WhatsApp’ı kullanamayacağını tek taraflı olarak dikte etmektedir. Bu durum haliyle aklımıza 6098 sayılı Borçlar Kanunu Genel İşlem koşullarını getirmektedir.

TBK’nın 20. Maddesinin 1. Fıkrası uyarınca genel işlem şartları şu şekilde tanımlanmıştır. “Genel işlem koşulları, bir sözleşme yapılırken düzenleyenin ileride çok sayıdaki benzer sözleşmede kullanmak amacıyla önceden, tek başına hazırlayarak karşı tarafa sunduğu sözleşme hükümleridir. Bu koşulların sözleşme metninde veya ekinde yer alması, kapsamı, yazı türü ve şekli, nitelendirmede önem taşımaz.” demektedir. Bununla beraber, genel işlem koşulları ile düzenleyenin kötü niyetli hareket ederek sözleşmenin diğer taraflarının aleyhine hareket etmesi mümkün olduğundan TBK madde 21’de bu husus düzenlenmiştir.

TBK madde 21’de, “Karşı tarafın menfaatine aykırı genel işlem koşullarının sözleşmenin kapsamına girmesi, sözleşmenin yapılması sırasında düzenleyenin karşı tarafa, bu koşulların varlığı hakkında açıkça bilgi verip, bunların içeriğini öğrenme imkanı sağlamasına ve karşı tarafın da bu koşulları kabul etmesine bağlıdır. Aksi takdirde, genel işlem koşulları yazılmamış sayılır” şeklinde emredici bir hüküm yer almaktadır.

Mevcut kanun hükmü, düzenleyenin sözleşmenin diğer tarafı olan kişiyi aydınlatma yükümlülüğünü açıkça, tereddütte yer vermeyecek şekilde, kapsamlı olarak bilgi sahibi edinilmesine ve bu şekilde bir rızanın alınmış olması şartına bağlamaktadır. Ancak WhatsApp’ın yayınladığı sözleşmede taraflara kişisel verinin ne olduğu dahi söylenmemiş, bu kavramın içine nelerin girdiği, kişinin verilerin işlenmesinin ve bu işlenmenin sonuçlarının neler olacağı gibi önemli noktalar atlanarak matbu bir metin gönderilmesi ile yetinilmesi bu hususta genel işlem koşullarının TBK madde 23 uyarınca düzenleyenin aleyhine yorumlanması gibi bir duruma yol açabileceği de ortadadır.

Sonuç olarak iyi niyet ve dürüstlük kuralı ilkesi kavramı gereğince, kullanıcılara dayatılan bu sözleşmenin, her türlü kişisel verinin korunmaya çalışıldığı ve kişisel veri ihlalinin gerek ulusal gerekse uluslararası alanda türlü cezai ve idari yaptırımlarla düzenleme altına alındığı gerçeğine karşılık; aydınlatma yükümlülüğünü gereği gibi yerine getirmeyen düzenleyene karşı, kullanıcısının her türlü kişisel verisi olarak paylaşılan fotoğraf, yer, konum, dosya, ses kayıtları gibi bilgilerin işlenmesine verilen rızanın yani bu irade açıklamasının temelinin sağlamlığı konusunda hukuka ne derece uygun düşeceğinin hukukçular tarafından tartışma konusu olacağının kaçınılmaz hale getireceği ortadadır.

İlginizi çekebilir: Pandeminin dağarcığımıza kattığı bir kavram: “Kısa çalışma ödeneği” nedir?