Kişisel Verileri Koruma Kurulu’nca (KVKK), WhatsApp uygulaması hakkında, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlatılması kararının gerekçesine ilişkin açıklama yapıldı.
Kişisel verilerin işlenebilmesi için 7 Nisan 2016’da Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen şartlardan birinin mevcut olması gerektiği anlatılan açıklamada, bu şartların bulunmadığı durumlarda kişisel verilerin ancak ilgili kişinin açık rızası alınmak suretiyle işlenebileceği aktarıldı.
Kanunda yer alan ‘açık rıza’nın kişinin sahip olduğu verinin işlenmesine kendi isteğiyle hukuka uygun şekilde onay vermesi anlamını taşıdığı belirtilen açıklamada, verilen açık rızanın geri alınabileceği ifade edildi. Açıklamada, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu belirtildi.
Bu konularla ilgili Kurulun daha önce verdiği kararların hatırlatıldığı açıklamada, şu ifadelere yer verildi:
“Söz konusu Kurul kararında da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir. Kanunun 4’üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacıyla bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.
Diğer taraftan, Kanunun ‘kişisel verilerin yurt dışına aktarılması’ başlıklı 9. maddesinde, kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5. maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.”
