Bilindiği üzere WhatsApp, güncelleme maddelerinin 8 Şubat 2021 itibari ile yürürlüğe gireceğini duyurdu. Özellikle WhatsApp’ın güncellenen koşullarını ve gizlilik ilkesini içeren bildiriminde ‘’Diğer Facebook şirketlerinden bilgi alır ve bu şirketlerle bilgi paylaşımında bulunur.’’ maddesi biz hukukçuların bir hayli dikkatini çekti. Ayrıca sözleşmenin sonunda kullanıcıların güncelleme koşullarını ve gizlilik ilkesini 8 Şubat’a kadar onaylamayanların uygulamayı kullanamayacağı belirtildi.
Sözleşmede "Hizmetlerimizin yürütülmesi, sağlanması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla WhatsApp; hizmetlerimizi ne zaman yüklediğiniz, kullandığınız veya hizmetlerimize ne zaman eriştiğiniz dahil olmak üzere bazı bilgileri almak ve toplamak zorundadır. Aldığımız ve topladığımız veri türleri, hizmetlerimizi nasıl kullandığınıza bağlıdır. Hizmetleri sağlamak için belirli bilgilere gereksinim duyarız ve bunlar olmaksızın hizmetlerimizi size sağlayamayız. Facebook şirketlerinin bir parçası olan WhatsApp, diğer Facebook şirketlerinden bilgi alır ve bu şirketlerle bilgi paylaşımında bulunur. Hizmetlerimizin ve Facebook şirketi ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler." ifadesi yer almakta.
Güncel ulusal mevzuatımız olan 6698 sayılı KVKK kapsamında kanunun amacı olarak madde 1 "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." diyerek kişisel veri kavramını koruma altına aldığı görülmektedir. Kanunun 2. maddesi kapsam olarak "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." diyerek gerçek ve tüzel kişileri kanun kapsamında sorumlu tutmuştur. Bakıldığında 6698 sayılı KVKK, esas itibari ile kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamış olmakla bu kavramı oldukça geniş yorumlamaktadır. Yani bu tanımdan hareketle kişisel veri kavramının içine bilindiği üzere, kişinin isim, telefon numarası, özgeçmiş, resim, görüntü, ses kayıtları, parmak izleri, genetik bilgiler gibi veriler de girmektedir. Haliyle WhatsApp gibi bir sosyal mecrada, kullanıcı kendi özel veya iş hayatına dair pek çok kişisel veri bulunmakta ve depolanmaktadır. Bu yönüyle WhatsApp’ın getirdiği bu sözleşme maddeleri kullanıcı olan herkesi ilgilendirmekte ve kişisel veri kavramının mahiyetinin önemini bir kez daha göstermektedir.
Bilindiği üzere kişisel verilerin korunması alanında ülkemizde ve dünyada pek çok düzenlemeler yapılmaktadır. Temel felsefesini 1953 tarihli İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesinden özel hayatın gizliliği maddesi ile alan bu kavram pek çok düzenlemede tekrar koruma altına alınmış olmakla, geçmişten günümüze geniş bir şekilde yorumlanarak dijital çağın da getirmiş olduğu yeniliklerle birlikte şekillenmeye devam etmektedir. Bu alanda ülkemizde öncelikle 108 Nolu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ni 1982 yılında imzalanmış olmakla, 2016 Resmi Gazetede yayımlanarak yürürlüğe konulmasıyla iç hukukumuza dahil edilmiştir. Bu sözleşmeye ek protokolle taraf devletlere ülkelerinde uygulanmak üzere denetleyici makam kurulması ödevini yüklemiş ve nihayetinde ülkemizde bu alanda çalışmalar ve denetlemeler yapan Kişisel Verilerin Korunması Kurumu oluşturulmuştur.
Kişisel veri kavramı ile ilgili ulusal mevzuatımıza 5237 sayılı Türk Ceza Kanunu’na da cezai nitelikli hükümler konularak, kişisel veriyi hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme gibi fiiller suç olarak düzenlenmiştir. Böylesi önemli bir kavram olan gerçek kişiye ait kişisel verinin, iç hukukta kanunlarla, uluslararası alanda sözleşme ve ek protokollerle korunma altına alınmasına rağmen Whatsapp’ın yayınladığı sözleşme metni ile, kullanıcılara ait olan her türlü kişisel veriyi işlemesi ve paylaşması hukuka uygun olacak mıdır?
KVKK madde 5’ e göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez denmektedir. Bilindiği üzere hukukta genel bir ilke olan rızanın hukuka aykırılığı ortadan kaldıran bir hal olarak düzenlendiği görülmektedir. Gönderilen sözleşmede WhatsApp kullanıcılara ait olan kişisel verinin paylaşılmasına rıza gösterenlerin verilerini paylaşacağını, 8 Şubat’a kadar söz konusu sözleşmeyi kabul etmeyen kullanıcıların kişisel verilerin işlenmemesi gerektiği düşüncesine karşı artık WhatsApp’ı kullanamayacağını tek taraflı olarak dikte etmektedir. Bu durum haliyle aklımıza 6098 sayılı Borçlar Kanunu Genel İşlem koşullarını getirmektedir. TBK’nın 20. Maddesinin 1. Fıkrası uyarınca genel işlem şartları şu şekilde tanımlanmıştır. "Genel işlem koşulları, bir sözleşme yapılırken düzenleyenin ileride çok sayıdaki benzer sözleşmede kullanmak amacıyla önceden, tek başına hazırlayarak karşı tarafa sunduğu sözleşme hükümleridir. Bu koşulların sözleşme metninde veya ekinde yer alması, kapsamı, yazı türü ve şekli, nitelendirmede önem taşımaz." demektedir. Bununla beraber, genel işlem koşulları ile düzenleyenin kötü niyetli hareket ederek sözleşmenin diğer taraflarının aleyhine hareket etmesi mümkün olduğundan TBK madde 21’de bu husus düzenlenmiştir.
TBK madde 21’de: "Karşı tarafın menfaatine aykırı genel işlem koşullarının sözleşmenin kapsamına girmesi, sözleşmenin yapılması sırasında düzenleyenin karşı tarafa, bu koşulların varlığı hakkında açıkça bilgi verip, bunların içeriğini öğrenme imkanı sağlamasına ve karşı tarafın da bu koşulları kabul etmesine bağlıdır. Aksi takdirde, genel işlem koşulları yazılmamış sayılır." şeklinde emredici bir hüküm yer almaktadır. Mevcut kanun hükmü, düzenleyenin sözleşmenin diğer tarafı olan kişiyi aydınlatma yükümlülüğünü açıkça, tereddüte yer vermeyecek şekilde, kapsamlı olarak bilgi sahibi edinilmesine ve bu şekilde bir rızanın alınmış olması şartına bağlamaktadır. Ancak WhatsApp’ın yayınladığı sözleşmede taraflara kişisel verinin ne olduğu dahi söylenmemiş, bu kavramın içine nelerin girdiği, kişinin verilerin işlenmesinin ve bu işlenmenin sonuçlarının neler olacağı gibi önemli noktalar atlanarak matbu bir metin gönderilmesi ile yetinilmesi bu hususta genel işlem koşullarının TBK madde 23 uyarınca düzenleyenin aleyhine yorumlanması gibi bir duruma yol açabileceği de ortadadır.
Sonuç olarak sözleşmeler hukukunda sıkça kullandığımız, temelini Roma Hukuku’ndan alan bona fides yani iyiniyet ve dürüstlük kuralı ilkesi kavramı gereğince, kullanıcılara dayatılan bu sözleşmenin, her türlü kişisel verinin korunmaya çalışıldığı ve kişisel veri ihlalinin gerek ulusal gerekse uluslararası alanda türlü cezai ve idari yaptırımlarla düzenleme altına alındığı gerçeğine karşılık; aydınlatma yükümlülüğünü gereği gibi yerine getirmeyen düzenleyene karşı, kullanıcısının her türlü kişisel verisi olarak paylaşılan fotoğraf, yer, konum, dosya, ses kayıtları gibi bilgilerin işlenmesine verilen rızanın yani bu irade açıklamasının temelinin sağlamlığı konusunda hukuka ne derece uygun düşeceğinin hukukçular tarafından tartışma konusu olacağının kaçınılmaz hale getireceği ortadadır.