Kişisel Verileri Koruma Kurumu, WhatsApp LLC (WhatsApp) uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan üçüncü taraflara aktarılmasına açık rıza verilmesini içerecek şekilde WhatsApp tarafından hizmet koşullarının ve gizlilik ilkesinin güncellenmesi sebebiyle resen inceleme başlatmıştı. Tamamlanan inceleme sonucunda KVK Kurumu tarafından WhatsApp’a toplamda 1.950.000 TL idari para cezası uygulanmasına karar verildi.  

WhatsApp için kesilen cezaya sebep olan hususlar 

Yapılan inceleme kapsamında kullanıcıların hizmet koşulları ve gizlilik ilkesine onay vermeden uygulamayı kullanamayacağı tespit edilmiş, buna ek olarak aşağıdaki hususlara dikkat çekilmiştir: 

• Veri sorumlusu tarafından söz konusu uygulama kapsamında çeşitli kişisel veri işleme faaliyetleri bakımından farklı veri işleme şartlarına dayanıldığı ve kişisel veri işlemeye yönelik açık rıza şartının ise istisna olarak başvurulan bir şart olduğu belirtilse de hizmet koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlaması nedeniyle sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidildiği, 
• Kullanıcılara ait kişisel verilerin yurt dışında yerleşik üçüncü taraflara aktarılmasına ilişkin açık rıza onayı alınsa dahi rızanın verilmemesi halinde uygulamanın kullanımının engellendiği ve ilgili kişinin özgür iradesine dayanmadığı, 

• Veri sorumlusu tarafından hizmet koşulları ve gizlilik ilkesinde yer alan aktarıma ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, 
• İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı, 
• İşlem sözleşme onayı başlığı altında gerçekleştirilse dahi faaliyet olarak kişisel verilerin aktarımına ilişkin kullanıcılardan açık rıza onayı alındığı,  
• Bahse konu kişisel verilerin metinde hangi amaçlar kapsamında yurt dışında yerleşik üçüncü taraflara aktarılacağının net ve açıkça belirtilmediği,  
• Veri sorumlusunun sunucularının Türkiye’de bulunmadığının tespit edildiği ve bu hususun ilgili kişiden açık rıza onayı almaksızın gerçekleştirildiği,  

• Veri sorumlusu tarafından, profilleme amacıyla, çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı tespit edilmiştir. 

Kararda yer verilen tüm inceleme çıktıları kapsamında Kişisel Verileri Koruma Kurumu WhatsApp’a gerekli teknik ve idari tedbirleri almadığı sebebiyle 1.950.000 TL idari para cezası uygulanmasına karar vermiştir. İdari para cezasına ek olarak veri sorumlusunun ilgili metinleri hukuka uygun hâle getirmesi ve Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma metni hazırlanmasına karar vermiştir.