İrlanda Veri Koruma Komisyonu (DPC), mesajlaşma hizmetinin Genel Veri Koruma Yönetmeliğini (GDPR) ihlal ettiğini doğruladıktan sonra WhatsApp Ireland’a 5,5 milyon € (5,95 milyon $) para cezası verdi.
Yetkili makam, WhatsApp’a veri işleme operasyonlarını altı ay içinde uyumlu hale getirmesini emretti, aksi takdirde yeni bir para cezasıyla karşı karşıya kalacak.
25 Mayıs 2018’de DPC, bir Alman veri sahibinden gelen bir şikayetin ardından WhatsApp tarafından düzenlemenin potansiyel ihlaline ilişkin bir soruşturma başlattı.
Aynı gün, WhatsApp Hizmet Şartlarını güncelledi ve AB’deki tüm kullanıcılardan uygulamanın ana arayüzüne erişmeye devam etmek için tıklayarak değişiklikleri kabul etmelerini istedi.
Yok sayılan kullanıcı izni
DPC’ye iletilen şikayette, WhatsApp’ın kullanıcıları yazılımı kullanmaya devam etmeleri için bir koşul haline getirerek değişiklikleri kabul etmeye zorladığı iddia edildi. Bu nedenle, kullanıcıların yalnızca uygulamayı açmak için kişisel verilerinin işlenmesine izin vermesi gerekiyordu.
Bu, GDPR’nin 7. maddesinin 32. maddesini ihlal etmektedir; bu, kullanıcı onayının baskı, etki veya veri sahibinin kararında dengesizlik yaratan unsurlar olmadan özgürce ve belirli, bilgilendirilmiş ve açık bir temelde verilmesini gerektirir.
Kapsamlı bir soruşturmanın ardından, DPC aşağıdaki sonuçlara varmıştır:
- WhatsApp Ireland, GDPR’nin 12. ve 13. Maddelerini ihlal eden talep edilen kullanıcı verilerinin işlenmesinin yasal dayanağını veya açık nedenlerini açıkça belirtmedi.
- WhatsApp İrlanda, zorunlu izin nedeniyle Madde 7’yi ihlal etmemiştir çünkü hizmet, hizmetin sunulması veya kişisel kullanıcı verilerinin işlenmesi için yasal bir dayanak olarak kullanılması için kullanıcının iznine dayanmamıştır.
DPC, aynı nedenlerle WhatsApp’a zaten ağır para cezaları verdiğinden, ilk puan ek cezalara neden olmayacak.
“Aynı süre içinde bu ve diğer şeffaflık yükümlülüklerini ihlal ettiği için WhatsApp İrlanda’ya 225 milyon Euro’luk çok önemli bir para cezası vermiş olan DPC, başka herhangi bir para cezası veya düzeltici önlem uygulanmasını önermedi. Daha önceki bir soruşturmada,” kararın gerekçesini okur.
İkinci noktaya gelince, DPC’nin Alman veri konusunun iddialarını reddetmesi davayı sonlandırmaz, çünkü Alman Denetleme Otoritesi şimdi şikayeti de inceleyecektir.
WhatsApp Ireland’a 5,5 milyon Euro para cezası, veri koruma süreçlerinde şeffaflık, yasallık ve adalet gerektiren “işlemenin yasallığı” ile ilgili GDPR’nin 6. Maddesinin ihlali nedeniyle verildi.
Ek olarak DPC, “özel kişisel veri kategorilerinin işlenmesi” konusunda GDPR’nin 9. Maddesinin ihlal edilip edilmediğini belirlemek için WhatsApp’ın hizmetindeki tüm işleme operasyonlarını kapsayan yeni bir soruşturma başlatacak.
Veri koruma kurumu, WhatsApp’ın hassas verileri davranışsal reklamcılık ve pazarlama amaçlarıyla toplayıp işlemediğini ve bu verilerin herhangi bir üçüncü tarafla paylaşılıp paylaşılmadığını belirlemek istiyor.
WhatsApp, BleepingComputer’a, hizmetinin yasal olarak uyumlu bir şekilde çalıştığına inandığı için karara itiraz etmeyi planladığını bildirdi. DPC’nin kararıyla ilgili olarak bir WhatsApp sözcüsünden alınan yorumun tamamı aşağıdadır:
WhatsApp, insanları koruyan uçtan uca şifreleme ve gizlilik katmanları sağlayarak özel mesajlaşma sektöründe lider konumdadır. Hizmetin çalışma şeklinin hem teknik hem de yasal olarak uyumlu olduğuna kesinlikle inanıyoruz.
Hizmet iyileştirme ve güvenlik amaçları için sözleşme gerekliliğine güveniyoruz çünkü insanların güvenliğini sağlamanın ve yenilikçi bir ürün sunmanın hizmetimizi yürütmenin temel bir sorumluluğu olduğuna inanıyoruz. Karara katılmıyoruz ve temyize gitmeyi düşünüyoruz.