WhatsApp gruplarında kişisel verilerimizi farkında olmadan nasıl paylaşıyoruz?

Dijital hayatın artık hayatımızın her alanına dokunduğu bugünlerde, kullanıcılarından kişisel verilere erişim izni sözleşmesi gönderen WhatsApp, tüm dünyada olduğu gibi Türkiye’de de tartışma konusu oldu. Birçok kişi verilerinin paylaşılmasına izin vermeyerek uygulamayı cep telefonlarından sildi. Birçoğu ise farklı uygulamalara geçerek kendini güvenceye aldığını söyledi.

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında özellikle şirketler de iş amacıyla kurulan WhatsApp gruplarının büyük yaptırımlara tabi olabileceğini söyleyen Olcay Er, "Sunucuları yurtdışında bulunan herhangi bir anlık mesajlaşma uygulaması kullanan şirketler, şirket yöneticileri ve çalışanları, KVK Kanunu’nu tekrar gözden geçirmelidir. Bu uygulamalar üzerinden yapılan yazışmaların içeriği, kullanıcının niyeti bu şekilde olmasa da yurtdışına aktarılmış sayılmaktadır. Örneğin içinde şirket yetkilisinin, İK müdürünün ve muhasebe sorumlusunun olduğu bir WhsatsApp grubu düşünelim, İK işe girişine karar verdiği çalışan adayına ait kimlik fotokopisini ve sağlık raporunu bu gruba atıyor ve muhasebe departmanı da özlük dosyasını ve SGK işe giriş bildirgesini hazırlıyor. KVK Kanununa göre çalışan adayının kimlik ve sağlık bilgileri yurtdışına paylaşılmış sayılacaktır. Ve bunun 2 Milyon TL’ye kadar idari para cezası vardır" dedi.

ÇALIŞANDAN "AÇIK RIZA" ALINMASI GEREKİYOR

Er, şirketlerin kullandığı WhatsApp gruplarında yapılan paylaşımların mevzuata uygun olarak kullanılabilmesi için yapılması gerekenleri şu şekilde anlattı:

"İlgili kişinin açık rızası. Yani, çalışana kimlik ve sağlık bilgilerinin anlık mesajlaşma uygulaması vasıtasıyla yurtdışına aktarılacağı hakkında bilgi verilmeli ve çalışan adayına onay verip vermediğinin sorulması gerekmektedir. Kişisel verinin aktarılacağı ülkenin KVK Kurulu’nun açıkladığı ‘Güvenli Ülkeler Listesi’sinde yer alması gerekmektedir. Ama maalesef henüz bu ülkeler belirlenememiştir. Gerek ülkeler arasındaki bürokratik engeller gerekse teknik şartların zorluğu sebebiyle uzunca bir süre bu ülkelerin belirlenemeyeceğini düşünüyorum. Ayrıca, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun bu taahhütleri kabul edip izin vermiş olması gerekmektedir. Bu koşul da fiilen imkansızdır. Çünkü, şirketler tek tek WhsatsApp ile kurulun belirlediği formda taahhütname imzalamaları gerekmektedir. Özetle, WhsatsApp, Signal, Telegram, Office 365, Gmail, Yandex gibi sunucusu yurtdışında olan herhangi bir uygulama üzerinden içinde isim, soy isim, adres, iletişim bilgisi, konum, finansal bilgiler, sağlık raporu gibi kişisel veri barındıran bir yazı, fotoğraf veya dosya gönderdiğinizde KVK Kanunu’na aykırı hareket etmiş oluyorsunuz."

EĞİTİM VE DENETİM ŞART

Şirketlerin profesyonel olarak kişisel veri denetimini yaptırması ve çalışanlarına bu konuda eğitimler vermesi gerektiğine dikkat çeken Er, "KVK Kanunu’nun 12. Maddesi’ne göre şirketler, kişisel verilerinin kanuna uygun işlenmesi, erişilmesi ve aktarılması için gerekli tüm idari ve teknik tedbirleri almakla yükümlü kılınmıştır. Dolayısıyla, hem teknik olarak veri aktarıma ilişkin doğru araçlarını çalışanlarına sunmak, hem de çalışanlarına kanun kapsamında düzenli farkındalık eğitimleri vermek ve bu hususları denetlemek zorundadır" diye konuştu.