WhatsApp İş Gruplarında Kişisel Veri Paylaşımı ve KVKK Riskleri
WhatsApp İş Gruplarında Kişisel Veri Paylaşımı ve KVKK Riskleri
Günümüzde WhatsApp, iş hayatının ayrılmaz bir parçası haline gelmiştir. Şirketler hızlı iletişim kurabilmek için WhatsApp iş grupları oluşturmakta ve bu platformlar üzerinden birçok bilgi paylaşmaktadır. Ancak bu pratik çözüm, Kişisel Verilerin Korunması Kanunu (KVKK) açısından önemli riskler taşımaktadır. İş gruplarında paylaşılan çalışan bilgileri, müşteri verileri ve diğer hassas bilgiler, şirketinizi ciddi yasal sorumluluklar ve cezalarla karşı karşıya getirebilir.
Bu yazıda, WhatsApp iş gruplarında kişisel veri paylaşımının KVKK mevzuatı açısından taşıdığı riskleri, yasal yükümlülükleri ve alınması gereken güvenlik önlemlerini detaylı olarak inceleyeceğiz.
WhatsApp İş Grupları Neden KVKK Riski Taşır?
Veri Güvenliği Eksikliği
WhatsApp, uçtan uca şifreleme sağlasa da, şirketlerin kişisel verilerini koruması açısından yeterli düzey bir veri yönetim sistemi değildir. KVKK m.12'de belirtildiği üzere, veri sorumlusu olarak işletmeler, kişisel verileri "uygun güvenlik düzeyinde" korumalıdır. WhatsApp grupları bu standartları karşılamaz çünkü:
- Veri erişim kayıtları tutulmaz
- Veri çıkışı kontrol edilemez
- Silinen mesajlar kurtarılabilir
- Yedekleme ve arşivleme tam kontrol altında değildir
- Üçüncü taraf erişimi sınırlandırılamaz
Kontrol Edilemeyen Bilgi Yayılması
WhatsApp gruplarının bir diğer kritik sorunu, paylaşılan bilgilerin kontrolünün tamamen kaybolmasıdır. Grup üyelerinden biri hassas verileri başka gruplara veya kişilere iletebilir. Bu durumda veri sorumlusu olarak şirket, KVKK m.5'te belirtilen meşru amaç ve amaç sınırlaması ilkelerine uymazken, m.6'da belirtilen veri işleme yasal dayanakları da ihlal etmiş olur.
İzin ve Rıza Sorunu
Çalışanların ve müşterilerin kişisel verileri WhatsApp gruplarında paylaşırken, genellikle bu kişilerden açık, belirli ve bilgilendirilmiş rıza alınmamış olur. KVKK m.6 uyarınca, kişisel veri işlenmesi için yasal bir dayanak olması gerekir. İşçi sözleşmesinin imzalanması, veri işlemeye rıza taşımaz ve verilerin WhatsApp'ta paylaşılacağı hakkında ayrıca bilgilendirilme yapılması gerekir.
WhatsApp'ta Sıklıkla Paylaşılan Riskli Veriler
Çalışan Bilgileri
İş gruplarında sıklıkla paylaşılan çalışan bilgileri arasında şunlar yer almaktadır:
- Adı, soyadı ve kimlik numarası
- Telefon numarası ve ev adresi
- Maaş ve ödeme bilgileri
- Sağlık bilgileri (hastalık izni, ameliyat vs.)
- Performans değerlendirmeleri ve disiplin uyarıları
- Şifre ve giriş bilgileri
Bu veriler, Kurul'un 2023 tarihli birçok kararında, KVKK ihlali olarak değerlendirilmiştir. Özellikle disiplin işlemleri ve özel sağlık verilerinin grup sohbetinde açıklanması, ciddi cezalara neden olmaktadır.
Müşteri Verileeri
Satış ve müşteri hizmetleri ekipleri, sıklıkla WhatsApp iş gruplarında müşteri telefonlarını, adreslerini ve diğer iletişim bilgilerini paylaşmaktadır. Bu veriler:
- Düzensiz veri taşımasına neden olur
- Müşteri gizliliğini ihlal eder
- Üçüncü taraflar tarafından elde edilebilir
Ticari ve Finansal Veriler
Projelerin detayları, fiyatlandırma bilgileri, finansal raporlar ve stratejik kararlar WhatsApp'ta paylaşıldığında, sadece KVKK değil, ticari sır koruması da ihlal edilir.
KVKK Mevzuatında Konuya İlişkin Hükümleri
KVKK m.5: Veri İşleme İlkeleri
KVKK m.5 uyarınca kişisel veriler:
- Uygun ve meşru: Belirli, açık ve meşru amaçlar için işlenmeli
- Doğru ve güncel: Hatalı veri içermemeli
- Amaç sınırlaması: Başka amaçla işlenmemeli
- Veri minimizasyonu: Gerekenden fazla veri işlenmemeli
- Depolama sınırlaması: Gerekirse daha uzun süre saklanmalı
WhatsApp gruplarında veri paylaşımı, bu ilkelerin hemen hemen tamamını ihlal eder.
KVKK m.6: Veri İşlemenin Yasal Dayanağı
Kişisel veri işlenmesi için en az bir yasal dayanak gereklidir:
- Rıza: Açık ve bilgilendirilmiş onay
- Sözleşme: Sözleşme yapılması veya çalışan olması
- Yasal yükümlülük: Kanun gereği
- Temel menfaat koruması: Yaşamsal çıkar
- Kamu görevinin yerine getirilmesi
- Meşru menfaatler: Ancak kişinin temel hakları ihlal etmemek koşuluyla
WhatsApp gruplarında paylaşım genellikle bu dayanakların hiçbirini sağlamaz.
KVKK m.12: Veri Güvenliği
Veri sorumlularının, kişisel verileri "uygun güvenlik düzeyinde" koruma yükümlülüğü vardır. İş gruplarında veri paylaşımı:
- Veri erişim kaydı tutmaz
- Veri çıkışını kontrol etmez
- Yetkisiz erişimi engellemeyen bir ortam sağlar