Kullanıcı hizmet koşullarını ve gizlilik ilkelerini değiştiren ve gelen tepkiler üzerine sözleşmenin kabul süresini 15 Mayıs’a erteleyen WhatsApp’taki güncel tabloyu hukuki perspektifte değerlendirdik.
Ocakta kullanıcı hizmet koşullarını ve gizlilik ilkelerini değiştirdiğini açıklayan WhatsApp, kamuoyunda tüm kişisel verilerimizi reklam amaçlı olarak satacak, Facebook ile her şeyi paylaşacak, hatta WhatsApp üzerinde yapılan tüm iletişim güvensiz hale gelecek şeklinde, çok güçlü bir kanı ile karşı karşıya kaldı. Ayrıca o dönemde WhatsApp yerine çok daha güvenli olduğu iddia edilen Telegram, Signal, Bip gibi uygulamalar tavsiye edilmeye başlandı. Çok sayıda kullanıcı Whatsapp’ı tamamen silmese bile, başta Telegram ve Signal olmak üzere, daha güvenli olacağını umduğu diğer uygulamaları yükledi. Sosyal medyada çığ gibi büyüyen tepkiler üzerine WhatsApp tarafından “8 Şubat 2021 tarihine kadar bu koşulları kabul etmezseniz, WhatsApp hizmeti telefonunuzdan silinecek” anlamında verilen süreyi 15 Mayıs 2021’e erteledi ve “derhal silme” maddesini bir süre hesabın tüm fonksiyonlarını kullanamayacak şekilde pasifize etme olarak düzeltti. 15 Mayıs’a kısa zaman bir zaman kala, tablodaki son duruma hukuki süreçler açısından bakalım.
WhatsApp hizmet sözleşmesi rejimine baktığımızda, “Avrupa Bölgesi” ve dünyanın kalanı olmak üzere ikiye ayrıldığını görüyoruz. Türkiye, WhatsApp tarafından Avrupa Bölgesi olarak adlandırılan ve AB ülkeleri ve diğer bazı ülkelerden (Norveç, İsviçre, Birleşik Krallık vs) oluşan rejime tabi değil. Yani Türkiye’de; ABD’de Japonya’da, Avusturalya’da hangi hizmet koşulları geçerli ise, o geçerli. Bu rejim, sadece ihtilafların özel bir tahkim hükmü çerçevesinde çözülebileceğini öngören detay haricinde, ABD ve Kanada’daki kullanıcılar için de geçerli.
Instagram ve WhatsApp’ın kullanıcı verilerini Facebook ile paylaşması yeni bir konu değil
Facebook’un WhatsApp’ı 2014’te resmen satın aldığını ve bu süreçte AB düzenleyici kurumlarından satın almaya ilişkin onay talep ederken verdiği yanıltıcı bilgiler sebebiyle, 110 milyon euro cezaya çarptırıldığını hatırlatalım. Verilen yanıltıcı bilgi, “Facebook kullanıcı hesabı ile Whatsapp hesabının otomatik olarak karşılaştırılmayacağı” idi. Oysa iki uygulama da verileri entegre ederek otomatik olarak kullanıcılara ilişkin belli verileri mukayese ve analiz edebiliyordu.
Diğer bir deyişle, Türkiye’deki Instagram ve WhatsApp kullanıcılarının verileri, o günden beri Facebook tarafından işleniyor. Ne Instagram’ın ne de WhatsApp’ın kullanıcı verilerini Facebook ile paylaşması, yeni bir şey değil. Zaten bu üç büyük kullanıcı verisi ve içeriği toplayan sistem arasında veri paylaşımı yapılmaması da mümkün değil. Çünkü her üç uygulamadaki bireysel hesapların, grup hesaplarının, ticari hesapların, ticari kullanım modlarının, reklam verme sistemlerinin başarısı, optimizasyonu, güvenliği, entegrasyonu, bir şikayet geldiğinde takibi ve sonuçlandırılması, kimlik teyitleri ve yazılımsal güncellemeler için bu veri paylaşımı elzem.
Örneğin, Facebook’un ödeme sistemleri şirketi, sanal gerçeklik geliştirme şirketi, veri analiz şirketi, siber güvenlik şirketi var. Tüm bu iştiraklerinin ayrı ayrı amaçları ve paylaşım politikaları var. Facebook ödeme sistemleri şirketi, müşterisinin kritik mali verisini Facebook ile dahi paylaşamaz. Fakat Facebook veya Instagram üzerinden ödeme yaparken bu şirket kullanılacağından, Facebook onunla kendi kullanıcısının verisini paylaşmak zorundadır. Benzer ilişkiler veri analiz ve güvenliği, yapay zeka geliştirme, siber güvenlik sistemleri için de geçerli. Grup şirketleri bazı hizmetleri sunmak, gerekleri daha iyi ve ucuz yerine getirmek amacıyla bu entegrasyonu yapar.
WhatsApp da bir Facebook iştiraki olarak, başta Avrupa Bölgesi ve GDPR baskısı olmak üzere, çeşitli düzenlemeler ve bunlara uyum baskısı altında, bu sene başında aslında zaten yapmakta olduğu ve yapmadan hayatta kalmasının çok zor olduğu uygulamalarını kullanıcı sözleşmelerine açıkça kaydetti.
WhatsApp konusunda eğer mesele bu hizmet koşulları ise, “yeni” diye onay almak zorunda kalınan hizmet sözleşmesinin ne içeriği yenidir, ne de diğerlerine göre daha fazla gizli ihlal tuzakları ile doludur.
Buna göre WhatsApp hizmetlerinin kullanıcı tarafından beklendiği şekilde yürüyebilmesi, özelleştirilmesi, pazarlanması, teknik altyapı, teslimat ve diğer sistemleri sağlamak, anket ve araştırma yaptırmak, kullanıcıların ve başkalarının güvenliğini, emniyetini ve bütünlüğünü korumak ile müşteri hizmetlerine yardımcı olmak ve hizmetlerin desteklenmesi için de Facebook şirketleriyle ve diğer hizmet sağlayıcılarla çalışıldığı ve bu sayılanların yerine getirilebilmesi için onlarla veri paylaşıldığı beyan etti.
WhatsApp’a getirilen diğer büyük eleştirilerden biri uçtan uca şifrelemesinin yeterince güçlü olmadığı ve aslında kullanıcının telefonunun veya bilgisayarının hack’lenmesi halinde, içeriğin de hack’lenebileceğine ilişkin eleştirilerdir.
WhatsApp’ın getirdiği uçtan uca şifrelemeyle, kişiler arasındaki iletişimin içeriğini ne WhatsApp ne de Facebook göremez. Ancak kullanıcı kendi isteğiyle iletişiminin içeriği Google Drive veya Apple’ın iCloud hizmetinde yedekleyebilir. Bu veri kullanıcının proaktif tercihi ile yedeklendiğinde zaten uçtan uca şifreli olma durumu ortadan kalkar.
WhatsApp’a alternatif gösterilen Signal ve Telegram’ın uçtan uca şifreleme sistemi, Whatsapp’ınkinden çok da farklı değil. Hatta Telegram bugüne kadar çok daha fazla mahremiyet ihlali iddialarının muhatabı oldu. Signal’ın kurucusu Brian Acton ise aynı zamanda WhatsApp’ın da kurucularından. Ancak, 2017 yılında buradan ayrılarak, WhatsApp’ın uçtan uca şifreleme altyapısı ile temelde aynı sistemi kullanmaya devam etti. Burada en büyük fark WhatsApp’ın gelirini reklamdan elde eden ve bugüne kadar çok önemli mahremiyet sorunları ve cezaları tecrübe eden Facebook’a ait iken, Signal’ın ise gelir amacı gütmeyen, misyonu ifade hürriyeti ve güvenli evrensel iletişim sağlamak ve açık kaynak yazılım geliştirmek olan Signal Vakfı’na ait olması.
Hizmet sözleşmesinin içeriği yeni değil
Her ne kadar Signal’in Türkçe kullanıcı sözleşmesi, mahremiyet politikası ve diğer önemli dokümanları olmasa da Signal de kullanıcının tercih etmesi halinde diğer üçüncü şahıs uygulamalarla ve şahıslarla veri paylaşıyor. Aynı şekilde Signal da yetkili hukuk uygulayıcılarına, mahkemelere gerekli bilgileri verir, teknik sebeplerle, sözleşmesel sebeplerle, güvenlik, dolandırıcılık, hukuka aykırılık, yolsuzluk gibi sebeplerle veri kullanabilir ve paylaşabilir.
Görüldüğü gibi zaten onlarca farklı uygulamayı birbiriyle uyumlu olarak kullanan tipik bir kullanıcı, hiçbir zaman sadece ve tek başına mesajlaşma uygulamasının mahremiyet sözleşmesiyle mahremiyet ihlal tehlikesine maruz kalmaz veya ondan kurtulmaz.
Bu çok daha geniş kapsamlı bir sorundur ve gerek ABD’de gerekse Avrupa’da sürekli olarak soruşturulan, hakkında hukuki takibat bulunan, ayrıca ABD’de borsaya kote olan Facebook ve onun iştiraki WhatsApp’ın, bu kadar yakın takibata maruz kalması, aslında başlı başına kullanıcı lehine bir durumdur. Zira, hata yapmamak için, açık vermemek için en çok yatırımı da onlar yapıyor. Türkiye’de ise hem Rekabet Kurulu hem de KVKK tarafından bu yazımızda incelediğimiz konuya ilişkin bir inceleme başlatıldı. Oysa, eğer mesele bu hizmet koşulları ise, “yeni” diye onay almak zorunda kalınan hizmet sözleşmesinin ne içeriği yeni, ne de öncekilerden fazla gizli ihlal tuzakları taşıyor.