WhatsApp’ın 4 Ocak 2021’de yeni kullanım koşulları ve gizlilik ilkelerini yayımlanması üzerine; çalışanlarda yaşanan veri güvensizliğini gidermek ve Şirketimiz için en güvenli mesajlaşma uygulamasının bulunması için KVKK kapsamında karşılaştırma ve analiz çalışması
ÖZET : WhatsApp 4 Ocak 2021’de yayınladığı ilkelerde kullanıcının kabul etmesi halinde Facebook şirketleriyle kullanıcı verileri paylaşılabileceğini belirtiyor eğer kullanıcılar 8 Şubat’a kadar metni onaylamazsa, WhatsApp’ı kullanamayacaklar.
Açıklamada uygulamanın Facebook şirketlerinin bir parçası olduğu ve bu şirketlerle nasıl veri paylaşıldığına ilişkin bilgiler yer alıyor. WhatsApp hizmet yürütülmesi, iyileştirilmesi ve desteklenmesi gibi amaçlarla kullanıcıların bazı bilgilerini zaten topluyordu. Bunların bir kısmı kullanıcılarca sağlanan hesap, durum, bağlantı, cihaz gibi bilgilerken, bir kısmı da otomatik olarak toplanan kullanım, kayıt ve konum gibi bilgilerden oluşuyor.
Facebook çatısı altındaki şirketlerle paylaşılacak verilerle ilgili kısım açıklamanın “Üçüncü Taraf Bilgileri” başlığında yer alıyor. Burada, kullanıcıların gizlilik sözleşmesini kabul etmesi durumunda sahip olunan bilgilerin hizmetlerin yürümesi, özelleştirilmesi ve pazarlanması gibi amaçlarla kullanılabileceği söyleniyor. Yine bilgilendirme metninde, teknik altyapı, teslimat ve diğer sistemleri sağlamak, anket ve araştırma yaptırmak, kullanıcıların ve başkalarının güvenliğini, emniyetini ve bütünlüğünü korumak ile müşteri hizmetlerine yardımcı olmak ve hizmetlerin desteklenmesi için de Facebook şirketleriyle birlikte çalışıldığı yazıyor.
Bilgilendirme metninde verilerin kullanımına ilişkin bir örnek de sunulmuş. Örneğe göre, iCloud veya Google Drive gibi bir veri yedekleme hizmeti kullanıldığında, tıpkı WhatsApp mesajları gibi bu hizmet vericiler kullanıcının onlarla paylaştığı bilgilere sahip oluyor. Demek oluyor ki, uygulamanın kişilerin verilerini Facebook’la paylaşmayı kabul etmesini istediği ve bunu kabul etmemesi halinde uygulamayı kullanamayacağı doğrudur.
AVRUPA BÖLGESİNDEKİ WHATSAPP
WhatsApp'ın, Birleşik Krallık dahil olmak üzere Avrupa bölgesindeki veri paylaşım uygulamalarında ve güncellenen gizlilik ilkelerinde bir değişiklik yapılmayacak. Nedeni ise, Facebook 7 yıl önce WhatsApp mesaj uygulamasını 19 milyar dolara satın alırken, AB Komisyonu bu birleşmeye tek bir şartla, birbirinden bağımsız çalışma kaydıyla onay vermiştir. Bu onay kapsamında WhatsApp kullanıcı bilgilerini Facebook’la paylaşamayacaktı. WhatsApp bu düzenlemeyi 2016’da delmeyi denemiştir.
Gizlilik bilgilerini değiştirerek, cep telefonu bağlantı bilgilerini Facebook’la paylaşma imkânı sağlamıştır. Ancak AB Komisyonu WhatsApp’a 110 milyon euro ceza kesip ve WhatsApp kullanım şartlarına, “WhatsApp’ın verdiği bilgiler Facebook şirketleri tarafından kendi amaçları doğrultusunda kullanılamaz” ibaresini eklemiştir.
WhatsApp, buna rağmen Avrupa ve İngiltere’deki kullanıcıları için yeni kullanım şartları bildirisi gönderdi ve 8 Şubat tarihine kadar kabul etmelerini istedi. Avrupalı kullanıcılar özel bilgilerin Facebook şirketleriyle paylaşılacağı endişesiyle yoğun tepki göstermiştir. WhatsApp bunun üzerine Twitter üzerinden bir açıklama yaptı: “Bu güncelleme ile WhatsApp düzenlemesinde Avrupa içinde gizli bilgi paylaşımıyla ilgili bir değişiklik yok. WhatsApp, Avrupalı kullanıcıların gizlilik bilgilerini reklam veya ürün iyileştirme amaçlı da Facebook’la paylaşmayacak.”
MESAJLAŞMA UYGULAMALARININ KARŞILAŞTIRILMASI
Mesajlaşma uygulamalarının karşılaştırmasına ilişkin detaylı bilgileri aşağıdaki 2 tabloda görebilirsiniz. Karşılaştırmadan önce bilmeniz gereken bazı kavramlar ise;
Uçtan uca şifreleme, mesajı gönderen cihaz tarafından, yalnızca alıcı cihazda çözülebilecek şekilde şifrelenmesi yöntemidir. Mesaj, göndericiden alıcıya şifrelenmiş biçimde gider. Temel avantajı, iletilen verileri alıcı dışındaki herkesten kısıtlamasıdır. Diğer bir avantaj, uçtan uca şifrelenmiş mesajların şifresinin alıcı dışında hiç kimse tarafından çözülememesidir: Kimse mesajı değiştiremez.
Uçtan uca şifrelemenin korumadığı şey, birincisi uçtan uca şifrelemenin kullanılması mesajınızın içeriğini gizlemenize izin verse de belirli bir kişiye mesaj gönderdiğiniz (veya ondan bir mesaj aldığınız) anlaşılacaktır. Sunucu, mesajların içeriğini okuyamaz ancak belirli bir gün ve belirli bir saatte mesajlaştığınızı bilir. İkincisi, birisi iletişim kurmak için kullandığınız cihaza erişim sağlarsa sizin adınıza mesaj yazıp göndermenin yanı sıra tüm mesajlarınızı da okuyabilir. Bu nedenle, uçtan uca şifrelemenin korunması, cihazlara ve uygulamaya erişimin de sadece bir PIN kodu ile bile olsa korunmasını gerektirir. Böylece, cihaz kaybolur veya çalınırsa kimse sizi taklit ederek adınıza mesaj yazamaz. Üçüncü ve son olarak, tüm cihazlarınızı korumaya özen gösterseniz ve içindeki mesajlara kimsenin erişemeyeceğinden emin olsanız bile, konuştuğunuz kişinin cihazından emin olamazsınız. Uçtan uca şifrelemenin burada yardımı olmaz.
Metaveri (metadata), Meta verileri, herhangi bir kişinin mesaj içeriklerinizi görmesine izin vermezken, yetkililerin kime, ne zaman ve hangi süre ile mesaj gönderdiğinizi görebilme imkanı sunuyor. Metadata neden önemli? Örneğin: birisi pazartesi 14:42’den 15:26’ya kadar bir jinekolog ile mesajlaştıktan sonra 16:14’te aile planlama merkezini aradığını, 8 dakikalık sesli görüşmenin ardında X Üniversitesi öğrenci grubuna mesajlar gönderdiğini öğrenebilirsiniz.
Tabloda yer alan bilgiler uygulamaları kullanırken, Sizlere ait en az veriyi toplayan uygulama Signal. |
|
Telegram |
Signal |
Bip |
Telefon numarası |
İşliyor. |
İşliyor. |
İşliyor. |
İşliyor. |
Rehber |
İşliyor. |
İşliyor. |
|
İşliyor. |
Cihaz kimliği |
İşliyor. |
İşliyor. |
|
İşliyor. |
Yaklaşık konum |
İşliyor. |
|
|
İşliyor. |
Kesin konum |
İşliyor. |
|
|
İşliyor. |
Satın alma geçmişi |
İşliyor. |
|
|
İşliyor. |
Fotoğraflar/videolar |
|
|
|
İşliyor. |
Ses verileri |
|
|
|
İşliyor. |
Performans verileri |
İşliyor. |
|
|
İşliyor. |
Tabloda yer alan bilgiler uygulamaların sağladığı gizlilik ve güvenlik için aldığı önlemler ile yöntemleri içeriyor. En gelişmiş ve kapsamlı güvenlik hizmetini sağlayan uygulama Signal. |
|
Telegram |
Signal |
Bip |
Açık kaynak |
Açık kaynak kodlu Signal Protokolünü kullanıyor. |
Açık kaynak olmadığı için, şifreleme ve güvenlik sistemlerinin doğru çalışıp çalışmadığı siber güvenlik uzmanları tarafından doğrulanamıyor. |
Açık kaynak kodlu Signal Protokolünü kullanıyor. |
Bilgi bulunmuyor. |
Uçtan uca şifreleme |
Mesajlarda uçtan uca şifreleme var. sesli aramalar için uçtan uca şifreleme var. Metaverileri şifrelemiyor. |
Mesajlarda uçtan uca şifreleme yok, sadece gizli sohbetlerde var. Sesli aramalar için uçtan uca şifreleme var. Grup sohbetleri uçtan uca şifrelenmiyor. Telegram’ın masaüstü istemcisi macos dışındaki herhangi bir platformda uçtan uca şifrelemeyi desteklemiyor. |
Mesajlarda uçtan uca şifreleme var. Sesli aramalar için uçtan uca şifreleme var. Metaverileri de uçtan uca şifreliyor. Şifreli grup aramalarını da destekliyor. |
Mesajlarda uçtan uca şifreleme var. |
Gizlilik |
İletinin üçüncü taraflara iletilmesinin engellenir. Ekran görüntüsü alındığında karşıdaki kişiye, uyarı olarak bildirme |
Ekran görüntülerini engelleme seçeceği mevcut. Karşı tarafa herhangi bir görüntü atmadan önce yüzlerin otomatik olarak bulanıklaştırılmasını sağlayan bir özellik mevcut. |
Elde etmiş olduğu kişisel verileri Avrupa Birliği dışındaki ülkeler dahil olmak üzere kullanıcının bulunduğu yargı alanı dışındaki ülkelere aktarabilir ve bu ülkelerde saklayabilir. |
|
Güvenlik |
Karşılıklı katılım esası olmadığından, Yabancıların size istenmeyen mesajlar göndermesini engellemez. Kiminle ne sıklıkla, nerede mesajlaştığınızı, hangi ağlara bağlandığınızı, cihazınızın özelliklerini ve daha birçok veriyi metaveri olarak Facebook ile paylaşıyor. Gerek bulut gerekse de yerel yedeklemeleri şifrelemiyor. Uygulamaya erişim için biyometrik doğrulama (parmak izi ya da yüz tanıma) seçeceğini aktif etmenize imkan tanıyor. iki adımlı doğrulama özelliği bulunuyor. |
Karşılıklı katılım esasından, bağlantıyı kabul etmezseniz Yabancıların size istenmeyen mesajlar göndermesini engeller. Sohbetlere PIN Kodu ve şifre korunabiliyor. |
İki adımlı doğrulama sistemi var. Varsayılan olarak cihazda barındırdığı tüm dosyaları 4 basamaklı bir parola ile şifreleme imkanı sunuyor. Şifreli bir yedek oluşturmanıza izin veriyor |
Uygulama sunucularında mesajlarınızı yedekleme özelliği açık ise, mesajlarınız şifreli olarak saklanmaktadır. Yedekleme özelliği kapalı olan kullanıcılar için mesajlar sadece iletilmek üzere süreli olarak ve şifreli şekilde saklanmaktadır. Mobil cihaz ile sunucular arasındaki bütün iletişim SSL üzerinden şifreli ve güvenli bir şekilde taşınmaktadır. |
Yedekleme |
Üçüncü parti bulutlarda yedekleme yapılmaktadır. |
Yerleşik bulut yedekleme (gizli sohbetler hariç) yapılmaktadır |
Varsayılan olarak kapalı konumdadır. Açılırsa cihazda yedekleme yapmaktadır. |
Bulutta yedekleme yapılmaktadır. |
Zaman ayarlı mesajlar |
Bulunmuyor. |
Gizli sohbetlerde var. |
Kendini imha edebilen süreli mesajlar var. |
Kendini imha edebilen süreli mesajlar var. |
Menşei |
ABD |
DUBAİ |
ABD |
TR |
Çatı Firma |
|
Telegram |
Signal Vakfı |
Turkcell |
HUKUKİ DEĞERLENDİRME
WhatsApp, söz konusu değişiklikle kullanıcılarını aydınlatmaktadır. Ancak hizmeti sunmak için açık rıza şartını öne sürdüğünden KVK Kurul’unun da çok sayıda kararında belirttiği üzere bu, KVKK m. 3 ve m. 12/1-a’ya açıkça aykırı bir durumdur. Bir ön şart şeklinde, veri ilgilisinden adeta dayatma şeklinde alınan rızanın hukuken bir geçerliliği bulunmamaktadır. WhatsApp’ın bu değişiklikten vazgeçmemesi halinde, KVKK m. 18 gereğince idari para cezası uygulanmalıdır.
Rekabet Kurulu’nun 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında Facebook Inc., Facebook Ireland Ltd., Whats App Inc. ve Whats App LLC hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edilip edilmediği hakkında re’sen soruşturma açılmıştır. Rekabet Kurulu tarafından yapılan açıklamada uygulamamanın soruşturma sonucunda alınacak nihai karara kadar ciddi ve telafi olunmayacak zararlar doğurma ihtimalini haiz olduğundan 4054 sayılı Kanun’un 9. maddesi çerçevesinde geçici tedbirler alınması ve bu kapsamda Facebook’un Türkiye’de kullanıcıların verilerini 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları durdurması ve bu koşulları kabul eden veya bilgilendirmeyi alarak kabul etmeyen tüm kullanıcılara Facebook’un veri paylaşımını içeren yeni koşulları durdurduğunu anılan tarihe kadar bildirmesi gerektiğine karar vermiştir.
Kişisel Verileri Koruma Kurulu, 12.01.2021 tarihinde yapmış olduğu kamuoyu duyurusunda WhatsApp Gizlilik İlkeleri ve Facebook Şirketlerine veri aktarımı hakkında resen soruşturma başlattığını duyurmuştur.
Kişisel Verileri Koruma Kurulu ilk olarak; WhatsApp’ın, kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışındaki kişilere veri aktarılması için rıza alınması işleminde ayrıştırmaya gitmediğini; bu durumun açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığının incelenmesi gerektiğini, zira veri ilgilisinin verisinin işlenmesine rıza gösterirken aynı anda verisinin yurt dışına aktarımı için rıza vermek istemeyebileceğini, oysa söz konusu değişiklik ile bu iki hususunun birlikte düzenlendiğini ve veri ilgililerinin buna zorlanmasının söz konusu olup olmadığının incelenmesinin gerektiğini belirtmiştir.
İkinci olarak, yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4. maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediğinin araştırılması gerektiğini ifade etmiştir.
Üçüncü olarak; sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceğini bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceğini, dolayısıyla Whatsapp tarafından yapılan güncelleme ile verilen hizmetin “rıza şartına bağlanması” durumunun ortaya çıkıp çıkmadığının incelenmesi gerektiğine işaret etmiştir.
Son olarak, WhatsApp tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarımın KVKK m. 9’a aykırı olup olmadığının incelenmesi gerektiğini belirtmiştir.