Dijitalleşmenin hayatımızın her alanına entegre olduğu günümüzde, kullanıcılarından kişisel verilere erişim izni talep eden WhatsApp, Türkiye’de de tartışmalara yol açtı. Birçok kullanıcı, verilerinin paylaşılmasına onay vermeyerek uygulamayı telefonlarından kaldırdı. Bazı kullanıcılar ise alternatif uygulamalara geçerek kendilerini korumaya aldıklarını ifade etti.
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu (KVK) çerçevesinde, özellikle şirketlerin iş amaçlı kurulan WhatsApp gruplarının ciddi yaptırımlara tabi olabileceği konusunda uyarılarda bulunan uzman Olcay Er, şu bilgileri paylaştı:
- Sunucuların Yurtdışında Olması: Yurtdışında sunucuları bulunan herhangi bir anlık mesajlaşma uygulaması kullanan şirketler, yöneticileri ve çalışanları, KVK Kanunu’nu yeniden gözden geçirmelidir. Bu uygulamalar üzerinden yapılan yazışmalar, kullanıcının niyeti ne olursa olsun yurtdışına veri aktarımı olarak değerlendirilmektedir.
- Örnek Durum: Örneğin, içinde şirket yetkilisi, İK müdürü ve muhasebe sorumlusunun bulunduğu bir WhatsApp grubunu düşünelim. İK, işe alım sürecinde bir adayın kimlik fotokopisini ve sağlık raporunu bu gruba atıyor; muhasebe departmanı da özlük dosyası ve SGK işe giriş bildirgesini hazırlıyor. KVK Kanununa göre, çalışan adayının kimlik ve sağlık bilgileri yurtdışına paylaşılmış sayılacaktır. Bu tür bir ihlal, 2 milyon TL’ye kadar idari para cezasıyla sonuçlanabilir.
Açık Rıza Alınması Gerekliliği
Er, şirketlerin WhatsApp gruplarında yapılan paylaşımların mevzuata uygun olabilmesi için aşağıdaki adımların atılması gerektiğini vurguladı:
- Açık Rıza: Çalışanlardan kimlik ve sağlık bilgilerinin anlık mesajlaşma uygulamaları vasıtasıyla yurtdışına aktarılacağı konusunda bilgi alınmalı ve onayları talep edilmelidir.
- Güvenli Ülkeler Listesi: Kişisel verinin aktarılacağı ülkenin, KVK Kurulu’nun belirlediği ‘Güvenli Ülkeler Listesi’nde yer alması gerekmektedir. Ancak, bu ülkelerin henüz belirlenmemiş olması, süreci karmaşık hale getirmektedir.
- Yeterli Koruma Taahhütleri: Türkiye’deki ve ilgili yabancı ülkelerdeki veri sorumlularının yeterli koruma taahhütlerini yazılı olarak sunması ve KVK Kurulu tarafından onaylanması gerekmektedir. Ancak bu durum pratikte zorluklar içermektedir.
Eğitim ve Denetim Sürecinin Önemi
Şirketlerin kişisel veri denetimini profesyonel bir şekilde gerçekleştirmeleri ve çalışanlarına bu konuda eğitim vermeleri gerektiğine dikkat çeken Er, şu noktaları belirtti:
- KVK Kanunu’nun Yükümlülükleri: KVK Kanunu’nun 12. maddesine göre, şirketler kişisel verilerin kanuna uygun bir şekilde işlenmesi, erişilmesi ve aktarılması için gerekli tüm idari ve teknik tedbirleri almakla yükümlüdür.
- Eğitim ve Farkındalık: Hem teknik olarak veri aktarıma ilişkin doğru araçların sağlanması, hem de çalışanlara düzenli olarak kanun kapsamında farkındalık eğitimleri verilmesi ve bu konuların denetlenmesi zorunludur.
