Whatsapp Gizlilik İlkesi Güncellemesi
Facebook tarafından 2014 yılında satın alınan Whatsapp, Facebook’un sahip olduğu teknolojiyi kullanarak hizmetlerini geliştirmek için Whatsapp “Gizlilik İlkeleri”ni güncelleyerek, kullanıcılara yeni hüküm ve koşulları kabul etmek için 8 Şubat 2021 tarihine kadar zaman verdi.
Facebook tarafından 2014 yılında satın alınan Whatsapp, Facebook’un sahip olduğu teknolojiyi kullanarak hizmetlerini geliştirmek için Whatsapp “Gizlilik İlkeleri”ni güncelleyerek, kullanıcılara yeni hüküm ve koşulları kabul etmek için 8 Şubat 2021 tarihine kadar zaman verdi. Güncel “Gizlilik İlkeleri”nin kullanıcılar tarafından onaylanması halinde kullanıcıların bazı verileri Facebook ve Facebook bünyesinde bulunan diğer şirketler ile paylaşılacak. Bu ilkelere onay vermeyen kullanıcılar ise uygulamayı artık kullanamayacak. Kullanıcılar bu güncelleme ile Facebook’un tüm verilerine erişeceğini düşünüyor. Peki bu ne kadar doğru?
Whatsapp kullanıcılarına ilişkin hangi verileri işliyor?
Whatsapp kullanıcı hesabı oluşturabilmek için zorunlu olarak telefon numaranızı, kullanıcı adınızı ve yüklemeniz durumunda profil fotoğrafınızı işliyor. Whatsapp karşı tarafa iletilemeyen mesajları 30 gün boyunca kendi sistemlerinde saklıyor, 30 gün sonunda hala iletilmediyse mesaj siliniyor. Karşı tarafa mesaj içerisinde bir görsel ilettiğinizde, bu görsel geçici bir süre için şifrelenmiş bir şekilde Whatsapp sistemlerinde saklanıyor. Bunlara ek olarak; telefon rehberi, ödeme bilgileri, ürün kullanım bilgileri, cihaz ve bağlantı bilgileri, konum bilgileri, arıza bilgileri ve çerezler de Whatsapp tarafından işleniyor. Son olarak Meta Data (üst veri) olarak adlandırılan, kullanıcıların büyük çoğunluğunun öneminin farkında olmadığı, mesajların/konuşmaların kimlerin arasında geçtiği, ne sürelerle iletişim kurulduğu gibi kullanıcıların davranışsal hareketlerini belirleyen veriler de Whatsapp tarafından saklanıyor.
Uçtan uca şifreleme (End to End Encryption) ne demektir?
Whatsapp mesaj içeriklerine ilişkin olarak uçtan uca şifreleme yöntemini kullanmaktadır. Bu yöntemde Gönderici ve Alıcı arasında gerçekleşen mesajlaşmalar, sesli aramalar, video görüşmeleri gibi tüm içerik Whatsapp tarafından şifrelenmektedir. Dolayısıyla Gönderici ve Alıcı arasındaki mesajlar yalnızca bu kişiler tarafından görülebilmektedir. Yani sanılanın aksine mesaj içerikleri Whatsapp bünyesinde değil, kendi telefonunuzda saklandığından ne Whatsapp ne Facebook ne de bir diğer üçüncü kişi tarafından okunmaları mümkün değildir.
Güncelleme tüm dünyadaki Whatsapp kullanıcılarını aynı şekilde mi etkiliyor?
Hayır. Whatsapp, hizmet koşulları ve gizlilik ilkelerini Whatsapp Ireland Limited ve Whatsapp LLC olmak üzere iki ayrı şirketi üzerinden iki ayrı şekilde düzenlemektedir. Söz konusu güncelleme Whatsapp Ireland Limited’in kapsamına giren; Almanya, Andorra, Avusturya, Belçika, Birleşik Krallık, Bulgaristan, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Hırvatistan, Hollanda, İrlanda, İspanya, İsveç, İsviçre, İtalya, İzlanda, Kıbrıs Cumhuriyeti, Letonya, Lihtenştayn, Litvanya, Lüksemburg, Macaristan, Malta, Monako, Norveç, Polonya, Portekiz, Romanya, San Marino, Slovakya, Slovenya, Vatikan ve Yunanistan için geçerli değildir. Bunun nedeni ise bu güncellemenin, çoğunluğu AB ülkelerinden oluşan bu ülkelerde etkili olarak uygulanan Genel Veri Koruma Tüzüğü (GDPR)’ne aykırı olması ve güçlü veri koruma otoritelerinin varlığıdır. Sonuç olarak kişisel veri güvenliği konusunda bir dengesizlik olduğu çok açıktır.
Güncellemeye Türkiye’nin tepkisi ne oldu?
Güncellemeye ilk tepkiyi Kişisel Verileri Koruma Kurulu’ndan önce Rekabet Kurulu 11.01.2021 tarihinde resen soruşturma açarak vermiştir. Rekabet Kurulu’nun iddiası Facebook Inc., Facebook Ireland Ltd., WhatsApp Inc. ve WhatsApp LLC’nin sahip oldukları hakim durumu kötüye kullandıkları ve bunun Rekabetin Korunması Hakkında Kanun (“Kanun”)’un 6.maddesini ihlal ettiği yönündedir. Rekabet Kurulu uygulamanın soruşturma sonucunda alınacak nihai karara kadar ciddi ve telafi olunmayacak zararlar doğurma ihtimalini düşünerek Kanun’un 9.maddesi uyarınca geçici tedbirler alınmasına karar vermiş, Facebook’un kendi ekonomik bütünlüğü içerisinde veri paylaşımını içeren yeni Gizlilik İlkeleri’ni durdurmasını hükmetmiştir. Rekabet Kurulu, Facebook’un geçici tedbir kararı ile getirilen yükümlülüklere uymaması durumunda, her gün için, Facebook’a karardan bir önceki mali yıl sonunda oluşan, bunun hesaplanması mümkün olmazsa karar tarihine en yakın mali yıl sonunda oluşan ve Rekabet Kurulu tarafından saptanacak olan yıllık gayri safi gelirlerinin onbinde beşi oranında idarî para cezası verir.
Konunun asıl ilgilisi olan Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) da 12.01.2021 resen soruşturma başlattığını duyurmuştur. KVKK Kurulu yayınladığı ön değerlendirmesinde aşağıdaki hususların değerlendirilmesi gerektiğini belirtilmiştir;
- Kullanıcılardan kişisel verilerinin yurtdışına aktarılmasına yönelik hukuka uygun bir rıza alınıp alınmadığı.
- Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kişisel Verilerin Korunması Kanunu (“KVKK”)’nda sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği.
- Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı.
- WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım konusunda KVKK’nın yurt dışına aktarım hükümlerine aykırılık olup olmadığı.
KVK Kurulu sürece ilişkin olarak 08.02.2021 tarihinde yeni bir değerlendirme yapacak ve kanımızca bu hususların birçoğu açısından ihlal kararı verecektir.
En güvenli uygulama hangisi?
Aylık iki milyar kullanıcısı olan Whatsapp’ın aldığı güncelleme kararı ile gözden düşmesiyle birçok kişi diğer mesajlaşma uygulamalarına geçiş yapmaya başladı. Yağmurdan kaçarken doluya tutulmamak adına diğer uygulamalar deyince akla ilk gelen Telegram, Signal ve BİP’in incelenmesi isabetli olacaktır.
Telegram sizden üye olurken yalnızca iletişim bilgisi ve telefon rehberi alıyor ancak şirketin “gizli sohbet” açmadığınız süre mesajlarınızın içeriğine erişmesi mümkün. Buna ek olarak Whatsapp gibi, kiminle, ne zaman konuştuğunuz bilgilerine de sahip.
Whatsapp’ın kullandığı Uctan Uca Şifreleme protokolünün ilk uygulayıcısı olan Signal uygulamasında mesajların ve aramaların yanı sıra yukarıda açıklamış olduğumuz Meta datalar da şifrelenmektedir. Üye olma aşamasında iletişim bilginizden başka veri işlememektedir. Bu özellikleri ile Signal’in şu an için en güvenli uygulama olduğu söylenebilir.
Ülkemizde geliştirilen BİP uygulamasında ise Uçtan Uca Şifreleme protokolü bulunmamaktadır. Dolayısıyla mesaj içeriklerine erişilmesi mümkündür. Ayrıca BİP yasal yükümlülüklerin söz konusu olması halinde kullanıcılara ait mesaj içeriklerini kolluk, istihbarat örgütü, savcılık ve mahkemelerle paylaşabilecektir. En iyi ihtimalle her durumda; telefon numaranız, rehberiniz, cihaz kimliği, yaklaşık ve kesin konum, satın alma geçmişi, ses verileri, fotoğraf/video ve performans verileri BİP tarafından kaydedilmektedir.
Whatsapp güncellemesinin gündeme oturması insanların kişisel verilerinin korunması konusunda bir aydınlanma yaşamasına yol açmıştır ve kimbilir belki de telefonlara indirilen uygulamaların, evlerde salonların ölçüsünü alan robot süpürgelerin, nabız ölçen saatlerin daha bilinçli bir şekilde kullanılmasına yol açabilir.
Av. Elif Çeviker