SÖYLEŞİ | Hukukçu Dr. Aybike Tunç ile WhatsApp’ın yeni kullanıcı sözleşmesi ve kişisel verilerin korunması üzerine…

Pelin Teymur Aslan

WhatsApp uygulaması uzun bir zamandır neredeyse hepimizin akıllı telefonunun ayrılmaz bir parçası. Gündelik hayatta mesajlaşma, arama, görüntülü konuşma gibi farklı özelliklerini kullandığımız uygulama bu sefer değiştirmek istediği kullanıcı sözleşmesi ile kamuoyunun gündemine oturdu. Pek çok kişi kişisel verilerinin güvenliği konusunda endişe duyduğundan dolayı alternatif iletişim uygulamalarına geçti bile. Peki WhatsApp’ın bu değişikliğinin arkasında ne yatıyor? Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Araştırma Görevlisi Doktor Aybike Tunç ile son dönemde gündemde olan WhatsApp’ın yeni kullanıcı sözleşmesini ve bu sözleşmenin gizlilik açısından neleri değiştirdiğini konuştuk. 

  • Öncelikle WhatsApp’ın kullanıcı sözleşmesinde yapılacak değişikliğin tam olarak içeriği nedir? 

Aslında WhatsApp’ta pratikte değişen hiçbir şey yok. WhatsApp daha öncesinde de bizim verilerimizi işliyordu. Konuyu daha iyi anlayabilmek için 2014 yılına kadar gitmemiz gerekiyor. Facebook 2014 yılında WhatsApp’ı satın aldı. Facebook bir şirket ve veri satarak, veriler üzerinden para kazanan bir şirket. Yani sahip olduğu şirketlerde; Instagram gibi Facebook gibi bizim rızamız üzerinden işlemiş olduğu verileri satıyor. Facebook, 2014 yılında WhatsApp’ı satın aldığında 2016’ya kadar “WhatsApp üzerinden para kazanılmayacak, veriler satılmayacak” şeklinde diretildi WhatsApp’ı kuranlar tarafından. 2016’ya kadar direttiler. 2016’da ise Facebook bünyesindeki diğer şirketler gibi WhatsApp üzerinden bizim verilerimizi satmaya başladı. Peki şimdi değişen ne? İnsanları bu kadar galeyana getiren ne? Bizim kişisel verilerimizin bu şekilde satılabilmesi, işlenebilmesi için açık rıza gösterilmesi gerekir. Açık rıza dediğimiz şey ise; bizim verilerimizi işleyen şirket bu verileri hangi koşullarda aldığını, nerelerde kullanacağını, kimlere satacağını bizlere söyleyip; bizim de “Tamam bizim verilerimizi kullanabilirsin, satabilirsin, benim buna rızam var.” dememizdir.

Daha önce bahsettiğim gibi bizim verilerimiz zaten işleniyordu ancak bu şu anlama gelmiyor; “Bizim verilerimiz zaten satılıyordu, şu an değişen hiçbir şey yok, güvenlik ayarlarının değişmesinin hiçbir önemi yok”. Şu anda değişen tek şey sözleşmeyi önümüze koyup bizim rızamızı alarak bunu yapması yani yapmış olduğu bu işlemi hukuka uydurması. WhatsApp 2016 yılından beri zaten bunu yapıyordu. Hatta 2018 yılında Avrupa Birliği, Facebook’a WhatsApp’ın güvenlik politikası sebebiyle bir ceza kesmişti.

Ancak şöyle de bir yanlış bilgi var: WhatsApp’ın sattığı veri, bizim mesajlarda yazdığımız birebir kelimeler, gönderdiğimiz fotoğraflar değil. Çünkü WhatsApp’ta “uçtan uca şifreleme” (end 2 end encryption) denilen bir şifreleme sistemi kullanılıyor. Bunun anlamı şu; aynen kargo şirketleri gibi WhatsApp da bizim mesajımızı alıyor. Kargo şirketleri nasıl bizim gönderdiğimiz paketleri açmadan ulaştırıyorsa WhatsApp da mesajı attığımız yere bu mesajı ulaştırıyor ve o arada o mesajın içeriğine, attığımız mesaja asla ulaşamıyor, asla bakamıyor. Değişen veya sattığı veriler neler? Ben bu uygulamaya saat kaçta giriyorum? Ağırlıklı olarak kimlerle konuşuyorum? Hangi yoğunlukta bu uygulamayı kullanıyorum? Benim adım, benim telefon bilgilerim ve konum bilgilerim. Peki WhatsApp neden bunu şimdi yapmaya başladı? Aslında bu da tamamen WhatsApp’ın gelir kaynaklarıyla alakalı. WhatsApp şu an ‘sepet’ uygulaması diye bir uygulamaya geçti. Türkiye’de belirli bölgelere geldi bu uygulama, pilot olarak uygulanıyor. Bu uygulamayla kafeler, restoranlar tıpkı diğer yemek hizmeti veren uygulamalar gibi menülerini çıkarıyorlar, siz de WhatsApp üzerinden menüyü görüp, siparişinizi veriyorsunuz. Veriler bu şekilde şirketlerin kullanmasına yönelik bir duruma gelince, verilerin daha şeffaflaşması daha açık hale gelmesi gerekti. Çünkü benim telefonumu, benim konumumu benim yakınımdaki restoranlara satabilecek böylece o restoran bana reklam gönderebilecek.

  • Bu konuda insanların farklı tepkileri var…

Bu konuya tepkiler iki türlü. Birincisi “Bizim verilerimizi WhatsApp satıyor, aman ne yapacağız, öldük, bittik” şeklinde. İkincisi ise “Ya kardeşim benim arkadaşımla yaptığım dedikodunun WhatsApp için ne önemi var, Amerika benim mesajlarımı okusun da ne yapsın” gibi. Bu iki tepki de doğru değil. Birincisine vereceğimiz cevap şu; bizim verilerimiz zaten paylaşılıyor, bu çağda bunun önüne geçebilmemiz mümkün değil. Çünkü bizim verilerimiz işleniyor, işlenmek zorunda. Bizim yapabileceğimiz tek şey hangi verilerimizin kimlerle, ne şekilde paylaşıldığını kontrol etmek. İkinci tepkiye ise şöyle cevap vereyim; “WhatsApp neden benim arkadaşımla mesajlaşmalarımızı okusun?” Bu o kadar basit bir şey değil. Çünkü bizim ‘big data’ dediğimiz, ‘büyük veri’ dediğimiz bir şey var ve bizim yapmış olduğumuz her şey bu büyük veriye katkı sağlıyor, her şey. Yani bizim yemek alışkanlıklarımız, rutinlerimiz, gündelik alışkanlıklarımız büyük veriye katkı sağlıyor. Bu sadece kişiye özel reklamlar, alışveriş gibi basit bir şey değil. Bizim siyasi tercihlerimizi, felsefi bakış açımızı, hayata bakış açımızı bile etkileyen bir şey. Çünkü bu kişiselleştirilmiş reklam dediğimiz şeyler bizi sadece alışverişe yönlendiren şeyler değil aynı zamanda toplum mühendisliği dediğimiz şeyi de yapıyor.

  • Bu konuyla alakalı olarak akıllara bir önceki ABD seçimlerinde Facebook’un verilerini Cambridge Analytica’ya satması skandalı geliyor.

Evet bu konuyla alakalı olarak Facebook iki sene önce Amerikan Senatosu’nda yargılandı.  

  • Bu olayda kişisel veriler nasıl kullanılmıştı?

Seçimden önce kişilerin kime oy vereceği ve kararsız seçmenin neye yatkın olduğuna dair genel bir profil çıkarıldı. Trump’a oy verme ihtimali olan ama kararsız olan seçmenin Facebook’ta karşısına oy vermeye ve Trump’a oy vermeye gitmesine yönelik kişiselleştirilmiş reklamlar çıkarıldı. Trump’a oy vermeyeceği kesin olan profillerin de karşısına oy vermemesini sağlayacak reklamlar çıkarıldı. Yani “sen oy versen bile sonuç değişmeyecek, gidip oy vermenin hiçbir manası yok” hissiyatı yaratacak reklamlar gösterildi. Cambridge Analytica skandalı buradan patladı ve hatta Trump’ın da bu yüzden seçildiği iddia edildi. Facebook da kişisel verileri Cambridge Analytica isimli bu şirkete satmış olmasından dolayı yargılandı. 

  • WhatsApp yeni kullanıcı sözleşmesini bütün ülkelerde aynı şekilde uygulayacak mı peki?

Avrupa Birliği’ne uygulamıyor. Hukukçular “Orada GDPR (General Data Protection Regulation –  Genel Veri Güvenliği Regülasyonu) var, bizde yok o nedenle bizde uygulanıyor.” gibi bir yaklaşım sergiliyorlar ama bu da doğru değil. Bizim 6988 sayılı bir kanunumuz var. Kısaca KVKK dediğimiz Kişisel Verilerin Korunması Hakkında Kanun. KVKK, kişisel verilerin işlenmesi, yurt dışına çıkarılması, satılması, hassas kişisel veri gibi hususlarda GDPR ile paralel. GDPR’da öngörülen yasaklar bizde de öngörülüyor.

WhatsApp’ın AB’de bunu uygulayamamasının sebebi tamamen AB’nin ekonomik gücü, pazarının büyüklüğü. 

  • Kişisel Verileri Koruma Kurulu en son açıklamasında WhatsApp hakkında inceleme başlatılacağını duyurdu. Bu kararın anlamı nedir?  

Bu açıklamada söylenen şey şu; sizin kişisel verilerinizin satılması bir rıza, yurtdışına çıkarılması ayrı bir rıza. Bunların her biri için ayrı ayrı açık rıza alınması gerekiyor. Yani tek bir sözleşmeyi onaylıyorum diyerek siz bunların tamamına onay veremezsiniz. Bu hukuka aykırı. İkincisi ise; ben açık rızamı her an geri alabilirim. Yani bugüne dek Facebook’a “Benim verilerimi işle” demişken bu saniye “Artık benim verilerimi işleyemezsin, ben rızamı geri alıyorum” diyebilirim. Benim açık rızam ileri etkilidir. Rızamı vermişken o rızamı geri alana kadar olan sürede verilerimi işlemesi hukuka uygundur ama rızamı geri aldığım saniye artık o verileri işleyemez, işlerse hukuka aykırı hareket etmiş olur. WhatsApp’ta ise böyle bir seçenek yok. “Ben rızamı geri alıyorum artık verilerimi işleme” gibi bir seçenek yok.

Öte yandan WhatsApp neredeyse hepimizin telefonunda olan, otomatik olarak yüklediğimiz bir uygulama. Arama özelliğini de kullandığımız, görüştüğümüz, yazıştığımız en yaygın kullandığımız uygulamalardan bir tanesi. Dolayısıyla bu çok temel bir hizmet. Bu kadar temel bir hizmetin “Kabul ediyorsan kullanırsın, kabul etmiyorsan kullanmazsın” gibi yani ya hep ya hiç şeklinde sunuluyor olması da bizim hukukumuza aykırı.

KVKK bunların hepsinin hukuka aykırı olduğunu dile getirdi. WhatsApp sözleşmenin 8 Şubat’a kadar onaylanmasını istiyor. Eğer WhatsApp bunu değiştirmezse muhtemelen cezalar kesilmeye başlanacak.

AB ile bizim aramızdaki fark ne? AB’de pazar çok daha büyük olduğu, işlenecek veri sayısı daha fazla olduğu için AB’nin keseceği ceza ile Türkiye’nin keseceği ceza bir olmayacak. Tamamen tahminen söylüyorum Whatsapp KVKK’ya (Kişisel Verileri Koruma Kurumu) bir ceza ödese bile bizim verilerimizi satmaktan elde edeceği gelir o cezadan çok daha yüksek olacak. Dolayısıyla satmaya devam edecek. AB’de ise muhtemel ceza daha yüksek olacak. Bu nedenle bize çok daha rahat uygulayabiliyor.

  • WhatsApp’ın yapmak istediği bu değişiklikten sonra özellikle sosyal medyada alternatif uygulamalar gündeme gelmeye başladı, özellikle de Telegram uygulaması indirdi pek çok kişi. Peki Telegram’ın ya da başka alternatif bir uygulamanın örneğin 3 sene sonra WhatsApp’ınki gibi bir taleple ortaya çıkmayacağı söylenebilir mi?  

Asla söylenemez hatta bence gelecekler de. Çünkü bunların her biri birer şirket ve bu şirketler sonuçta para kazanan şirketler. Bu şirketler yine sizin verilerinizi satarak reklam yoluyla para kazanıyorlar. Kimse babasının hayrına yapmıyor bu işi. Veri satmadığını ifade eden tek bir uygulama var o da Signal. Signal, Facebook’un 2016’da ‘WhatsApp üzerinden de para kazanılacak’ kararından sonra, WhatsApp’ın Facebook’tan ayrılan yazılımcılarından birinin kurmuş olduğu bir program. Signal açık kodlu bir yazılım ve neredeyse bütün açık kodlu yazılımlarda olduğu gibi Signal de bağışlar üzerinden ilerliyor. Bizim verilerimizi satmadığını söylüyor. Ancak buna da şöyle bakmak lazım; WhatsApp da başta aynen böyleydi, aynı adam kurdu. 5-10 yıl sonra Signal’in de böyle olmayacağının garantisi yok. Benim şahsi kanaatim şu yönde, ben hiçbir şekilde WhatsApp’ın sözleşmesini onaylamayı düşünmüyorum. Çünkü bahsettiğim gibi ‘büyük veri’ye bu kadar büyük katkı sağlamanın doğru olduğunu düşünmüyorum.

Burada rahatsız edici diğer nokta da şu; bu sözleşme AB’ye uygulanmıyor ama bana uygulanıyor. E Avrupa Birliği’ndeki tüketici de ben değil miyim? Avrupa Birliği’ndeki kişinin verisi kıymetli, benim verim kıymetli değil mi? Evet KVKK ve Rekabet Kurumu WhatsApp’a yaptırım uygulayacaklarına dair 8 Şubat’ı bekleyeceklerini açıkladılar. Devlet zaten böyle bir tavır almalı ama bence esas tüketiciler bu noktada bir tavır sergilemeli. Çünkü iki farklı tüketiciye iki farklı tavır sergileniyor WhatsApp tarafından. İnsanlar WhatsApp kullanmayı bırakmaya başladığında ben WhatsApp’ın bu konuda geri adım atacağına inanıyorum. Diğer uygulamaları kullanmaya başlamak tüketici tavrı olarak daha iyi bir tavır.

WhatsApp’ın bu işe girmesinin bir nedeni de, Facebook, Inc.’in çatısı altındaki farklı farklı platformlardan farklı anonim verileri birleştirerek çok büyük boyutlarda bir veri elde edebiliyor olması. Facebook’ta benim ‘like’ butonuna bastığım gönderilerden, Instagram beğenilerimden, paylaşımlarımdan benim hayata karşı duruşuma, ilgi alanlarıma, nelere baktığıma dair bir verisi zaten var. Bir de bu veriye WhatsApp üzerinden benim konumum, telefon numaram ekleniyor. Facebook’un elinde inanılmaz büyük bir veri var. Sürekli dile getirilen bir durum var ki Facebook’un ‘seni senden daha iyi tanıyor’ olması durumu. Bir olaya senin vereceğin tepkiyi belki sen daha farkında olmadan Facebook tahmin edebiliyor. Senin daha önce bir konuya verdiğin politik tepkilerden ya da politik tepkisizliğinden, arkadaşlarından, onların ilgi alanlarından yola çıkarak yapıyor bunu. Ellerindeki büyük verinin boyutunu bilmiyorum aktarabildim mi? Yani Instagram başka bir şeye hizmet ediyor, Facebook başka bir şeye, WhatsApp ise başka bir şeye. Her biri farklı farklı veriler topluyor ve bir araya geldiğinde ortaya çok korkunç bir şey çıkıyor. Örneğin tek başına Aybike Tunç’un verisinin hiçbir önemi yok. Ancak Aybike Tunç’ların o kadar önemi var ki. Benim konumumun, telefon numaramın, kredi kartı numaramın Facebook için hiçbir önemi yok ama biz hepimiz bir araya geldiğimizde o kadar büyük bir bilgi ortaya koyuyoruz ki. İnsanların bunu anlaması lazım. Büyük veri nedir, neye yarar bunu anlatmamız lazım.

Bununla ilgili bir başka örnek de Netflix ile ilgili. Netflix’e bu konuyla ilgili olarak açılan bir dava var. Netflix dijital yayın platformuna ilk döndüğü dönemde bir yarışma açıyor, yazılım yarışması. Bu yarışma kullanıcıların beğenmiş olduğu filmlerden, dizilerden yola çıkarak onlara en doğru filmleri, dizileri önerebilecek algoritmayı yazana ödül verilecek şeklinde. Bunu da yapabilmek için anonim bir şekilde bütün verilerini açıyor Netflix. Doğrudan isim vererek değil, “X kişisi, kadın, 30 yaşında, şurada oturuyor, bu filmleri beğendi” şeklinde anonim olarak paylaşıyor. Verilerin bu şekilde paylaşılmasında hukuki bir sakınca yok. Ancak iki tane bilim insanı, yazılımcı, yarışmaya katılmak yerine bu anonim verilerin çözülmesi için uğraşıyorlar ve bu verileri çözüyorlar. Sonuç olarak Florida’da yaşayan yalnız bir annenin eşcinsel olduğunu ortaya çıkarıyorlar, kadının ismine de ulaşıyorlar. Bunu sadece beğendiği filmler yoluyla yapıyorlar. Kadın gerçekten de eşcinselmiş ancak daha önce kimseye açıklamamış. Çok basit beğenilerimizden, çok basit paylaşımlarımızdan çok farklı verilere ulaşılabiliyor. Dolayısıyla büyük veri dediğimiz şey o kadar basit bir şey değil.

Bu veriler Netflix örneğinde bireysel bazda yıkıcı sonuçlara ulaşmışken Cambridge Analiytica skandalında tüm dünya siyasetini etkileyen bir sonuç ortaya çıkartıyor. Bu nedenle tüketicilerin büyük veriye yaptıkları katkıya çok dikkat etmeleri gerekir. WhatsApp kullanıcı sözleşmesindeki değişiklikler de bu çerçevede değerlendirilmeli; örneğin uygulamayı kullanırken izin verilen servisler bu bilgi ışığında değerlendirilip öyle izin verilebilir.

Toparlamak gerekirse WhatsApp, kullanıcısına bugüne dek yaptığından daha farklı bir şey sunmuyor. Yalnızca yaptıkları hukuka aykırı fiili kullanıcının rızasını alarak hukuka uydurma çabasındalar. Ancak belirttiğim gibi burada tüketici tepkisi çok önemli. AB dışındaki kullanıcıların bir tüketici tepkisi olarak alternatifi son derece çok olan bu uygulamayı kullanmaktan vazgeçmeleri gerekir. Nasıl ki gittiğimiz spor salonunda bize ayrı başka kullanıcıya ayrı muamele edildiğini gördüğümüzde o spor salonu üyeliğimizi iptal edip daha iyi hizmet alabildiğimiz başka bir salona üye oluyoruz; online mesajlaşma servislerinde de kullanıcının aynı tepkiyi göstermesi gerekir. Ben açıkçası devletler düzeyinde gösterilen tepkilerden ziyade tüketici tepkilerinin WhatsApp’a geri adım attıracağına inanıyorum.