Almanya- Hamburg Veri Koruma Kurumu Facebook’un Kullanıcı Verilerinin WhatsApp Tarafından Kullanılmasını Yasakladı – 11.05.2021

  BASIN DUYURUSU 11 Mayıs 2021 Hamburg Veri Koruma ve Bilgi Özgürlüğü Komiserliği (HmbBfDI) Facebook Ireland Ltd. ‘nin WhatsApp’tan elde ettiği kişisel verileri kendi amaçları için kullanmasını yasaklayan bir karar yayımladı. Bu karar derhal uygulanabilir olup Genel Veri Koruma Tüzüğü’nün (GDPR) ilgili bölgede, bu olayda Almanya, belirli bir süre boyunca geçerli olacak şekilde ihtiyadi tedbirlerin alınmasına imkan veren aciliyet usulü gereğince alınmıştır. İşlemin arka planı, tüm WhatsApp kullanıcılarına, WhatsApp’a Facebook ile veri paylaşma konusunda geniş kapsamlı yetkiler veren yeni hükümler ve gizlilik politikasının 15 Mayısa kadar kabul edilmesinin sorulmasına dayanmaktadır. Yeni hüküm ve koşullar, ileriye dönük olarak resmi olarak veri işleme yetkilerini yenilemekte ve içeriklerini genişletmektedir.  Diğerlerinin ötesinde bu endişeler, lokasyon bilgisinin işlenmesi kullanıcıların iletişim bilgilerinin açıkça Facebook’a atıfta bulunularak referans verilmekle birlikte üçüncü kişi şirketlere aktarılması, hizmetlerin bütünlüğünün sağlanması ek amacı ve hizmetin “uygun şekilde kullanılması için hesabın şirketler arasında (çapraz) doğrulamasıdır. Bu aynı zamanda verinin Facebook şirketlerinin ürünleriyle bağlantı kurmak için verinin kullanılmasına da izin vermektedir. Veri işlem veya küçüklere ilişkin verilerin karşılıklı alılıp verilmesinde meşru menfaatlerinin bulunduğu da Kurula karşı ileri sürülmüştür. Ayrıca, WhatsApp mesajlarının Facebook ile paylaşılmasına dair önceki bildirimin de kaldırıldığı görülmüştür. Bu gerçeklerin değerlendirilmesi ve Facebook Ireland Ltd.’yi dinledikten sonra, şu anda WhatsApp tarafından kullanım koşullarının onaylanmasına rağmen Facebook’un verileri kendi amaçları işlemesi için hukuki temeli yoktur. Veri aktarım koşulları gizlilik politikasının farklı seviyelerine dağıtılmış olup net değildirler ve Avrupa ile uluslararası versiyonlarını birbirinden ayırmak zordur. Ek olarak, içerikler yanıltıcıdır ve açık çelişkiler göstermektedir. Detaylı bir analizden sonra dahi, onayın kullanıcılar için ne tür sonuçları olacağı net değildir. Dahası, WhatsApp tarafından yeni koşulların kabul edilmesi hizmetin işlevlerinin kullanılmasına devam edilmesi için bir koşul olarak talep edildiğinden rıza özgürce de verilmemektedir. Arka plana karşın, WhatsApp kullanıcıların kişisel verilerinin Facebook’un kendi amaçları için Facebook tarafından kullanılmasının bir temeli bulunmamaktadır. Özellikle, Facebook, WhatsApp verilerini işlemede ilgili kişilerin hak ve özgürlüklerine baskın  gelen üstün bir meşru menfaati olduğunu ileri süremez. Rıza ne özgürce verilmektedir ne de bilgilendirilmiş şekilde verilmektedir. Bu özelliklere küçükler için geçerlidir. Bu nedenlerle, veri koruma hukukuna göre rıza hukuk bir zeminde verilmiş sayılamaz. WhatsApp kullanıcı verilerinin işlenmesi Facebook’un bir sözleşmeyi ifa etmesi için de gerekli değildir. Yeni hükümlerin incelenmesi, Facebook’un WhatsApp kullanıcılarına ait verileri herhangi bir zamanda kullanabilir olması için iki şirket arasındaki yakın bağlantıyı daha da genişletmeyi amaçladığını göstermiştir. WhatsApp,  ürün geliştirme ve reklamcılık alanları için, ilgili kişilerden yeniden onay almasına gerek olmaksızın verileri Facebook’a gönderme hakkını saklı tutmaktadır. Diğer alanlarda, gizlilik politikasına uygun olarak şirketin kendi amaçları için kullanımı halihazırda zaten varsayılabilir. WhatsApp tarafından ibraz edilen gizlilik politikası ve SSS (Sık Sorulan Sorular), örneğin, telefon numaraları ve cihaz tanımlayıcıları gibi WhatsApp kullanıcı verilerinin, ağ güvenliği ve spam gönderilmesinin önlenmesi gibi ortak amaçlarla şirketler arasında halihazırda paylaşılmakta olduğunu açıklamaktadır. Veri paylaşımının gerçek uygulamasını inceleyebilmek için baş gözetim kurumuna ilettiğimiz talebimiz şu ana kadar karşılanmamıştır. Kullanıcılar, bu kapsamlı veri aktarımına ilişkin olarak WhatsApp’ın şeffaf olmayan koşulları ile karşı karşıyadır. Aynı zamanda, açıklanan işleme faaliyeletlerinin aslında tamamen gerçekleştirilmediği, yalnızca kullanıcı rızasına dayanan bir hukuki çerçeve temelinde daha sonraki bir tarihte adım adım uygulanacağı iddia edilmektedir. Özellikle yeni tanıtılan ticari pazarlama fonksiyonu ile ilgili olarak yürütülen bu strateji, özellikle şimdi Facebook’un dahil edilmesiyle birlikte, doğrudan reklam ve pazarlama iletişimi kurulması amacıyla şirketler arasında veri işlemeyi mümkün kılmaktadır. Genel olarak bu yaklaşım, hem gizlilik politikasına dayalı olarak halihazırda gerçekleşen bu veri işleme, hem de Facebook tarafından herhangi bir zamanda uygulanabilecek ek işleme GDPR’ın gereklilikleri ile uyumlu değildir. Hamburg Veri Koruma ve Bilgi Özgürlüğü Komiseri Johannes Caspar, “Bu karar Almanya’da kullanım koşullarını onaylayan milyonlarca kullanıcının haklarını ve özgürlüklerini korumayı amaçlamaktadır. Bu amaç kara kutu (black box) prosedürü ile ilgili dezavantajları ve zararları önlemektir. “Cambridge Analytica”dan yakın zamanda ortaya çıkan 500 Milyondan fazla Facebook kullanıcısını etkileyen veri sızıntısına son yıllardaki veri koruma skandalları kitlesel profillemenin kapsamını ve tehditlerini göstermiştir. Bu, temel hakları ve ayrıca demokratik karar alma süreçlerini manipüle etmek için seçmen kararlarını etkilemek amacıyla profilleme kullanılması olasılığı ile ilgilidir. Neredeyse 60 milyon WhatsApp kullanıcıyla, Facebook reklam müşterilerinde seçmenleri etkileme arzusu yaratacak olan bu tehlike Eylül 2021’de Almanya’da gerçekleşecek olan federal seçimler göz önünde bulundurulduğunda daha da belirgindir. Şu anda verilen bu karar WhatsApp kullanıcı verilerinin toplama amacından başka bir amaçla işlenmesi ile ilgilidir ve Facebook’a yöneltilmiştir. Yeni hizmet koşullarına karşı dünya çapındaki eleştiriler, rıza mekanizmasını bir kez daha temelde düşünülmesi için bir neden vermelidir. Kullanıcı güveni olmadan, hiçbir veri temelli iş modeli uzun  vadede başarılı olamaz.” Aciliyet usulündeki kararın sınırlı süresinin yalnızca 3 ay olması nedeniyle, HmbBfDI Avrupa seviyesinde bağlayıcı bir kararı mümkün kılmak için bu konuyu Avrupa Veri Koruma Kurulu (EDPB)’ye taşıyacaktır. Basın İletişim: Martin Schemm Telefon: +49 40 428 54-4044 eposta: presse@datenschutz.hamburg.d