Anlık mesajlaşma uygulamalarından biri olan Whatsapp, kişisel kullanım için geliştirilmiş olsa da günümüzde milyonlarca kişi tarafından iş yaşamı da dahil olmak üzere her alanda kullanılmaktadır. Whatsapp’ın her alanda yaygın olarak kullanılmasına rağmen kullanıcılar tarafından veri güvenliğine ilişkin olarak çekinceler ve tereddütler söz konusudur. Zira Kişisel Verileri Koruma Kurumu da dahil olmak üzere birçok ülkenin veri koruma otoritesi tarafından Whatsapp aleyhine, kişisel verileri hukuka aykırı olarak işlemek, yeterince şeffaf olmamak, veri güvenliğini sağlayamamak gibi sebeplerden ihlal kararı verilerek idari para cezasına hükmedilmiştir. Bu konuya ilişkin olarak Kişisel Verileri Koruma Kurumu’nun re’sen incelemesi neticesinde Whatsapp aleyhine karar verdiği Kurul kararı örnek verilebilir. KVKK’nın 03.09.2021 tarihinde yayımlanan kararı uyarınca Whatsapp hakkında; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilerek 1.950.000 TL idari para cezası uygulanmasına karar verilmiştir.
Whatsapp uygulamasının iş süreçlerinde kullanımına ilişkin olarak; şirket personellerinin birbirine müşteri kimlik ve iletişim bilgilerini iletmek için kullanması ya da başka bir personelin sağlık raporunu Whatsapp aracılığı ile iletmesi örnek verilebilir. Bu yazımızda Whatsapp uygulamasının iş süreçlerinde kullanımında mevcut risklerden bahsedilecektir.
- Whatsapp-Facebook İlişkisi
Whatsapp, 2014 yılında 19 milyar dolar karşılığında Facebook tarafından satın almıştır. Bu kapsamda Whatsapp, Facebook şirketlerinden bir tanesidir. Bu husus Whatsapp Kullanım Şartlarında da açıkça yer almakta olup, Whatsapp Hizmet Koşullarında Facebook şirketlerinden bilgi alındığı ve Facebook şirketleri ile bilgi paylaşıldığı açık bir şekilde ifade edilmektedir. Ancak Whatsapp tarafından, kullanıcıların tam olarak hangi verilerilerinin paylaşıldığı net olarak açıklanmamış, bu hususa Whatsapp Gizlilik Politikası’nda ‘’WhatsApp; Hizmetlerimizi ne zaman yüklediğiniz, kullandığınız veya Hizmetlerimize ne zaman eriştiğiniz dahil olmak üzere bazı bilgileri almak veya toplamak zorundadır.’’ ifadesi ile üstü kapalı olarak değinilmiştir.
Kişisel ve özel nitelikli kişisel verilerimizi devamlı olarak paylaştığımız bir uygulama tarafından hangi verilerimizin işlendiğine ve aktarıldığına dair böyle belirsiz ifadelere yer verilmesi KVKK ve GDPR(Avrupa Genel Veri Koruma Tüzüğü)’a aykırıdır. Öyle ki bu kapsamda 2021 yılında Avrupa Veri Koruma Otoritesi tarafından, 2021/1 sayılı karar Whatsapp aleyine kullanıcılara kişisel verilerinin işleme ve aktarım faaliyetlerine yönelik yeterli düzeyde bilgi vermemesi sebebiyle 225 milyon Euro para cezası verilmiş ve bu sorunu derhal çözmesi talep edilmiştir.
Whatsapp tarafından veri aktarımının sınırının net çizilmemesi, verilerin aktarım yapılan şirkette hangi amaçlarla, ne şekilde işleneceği ve nerelere aktarılacağı, hangi güvenlik önlemleriyle korunacağı konusunda da sıkıntıları beraberinde getirmektedir. Dolayısı ile Whatsapp tarafından kişisel veriler güvenli yöntemlerle korunsa dahi aktarım şirketinde böyle bir korumanın sağlanmaması ya da farklı amaçlarla veri işleme ve aktarımı yapılması halinde, Whatsapp tarafından sağlanan tüm koruma işlevsiz hale gelmektedir.
Whatsapp sunucularının yurt dışında bulunması sebebiyle Whatsapp aracılığıyla veri aktarımı yurtdışına aktarım sayılmaktadır. 6698 sayılı Kişisel Verileri Koruma Kanunu’nun 10’uncu maddesi uyarınca kişisel verilerin yurtdışına aktarımı halinde ilgili kişiye gerekli bilgilendirmenin yapılarak Kişisel Verileri Koruma Kanunu’nun 9’uncu madesi uyarınca ilgili kişiden açık rıza alınması gerekmektedir. Bu kapsamda iş süreçlerinde Whatsapp kullanılması halinde ilgili kişilere(personel, müşteri, potansiyel müşteri, vb) veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilmesi gerektiği ve ilgili kişilerden açık rıza alınması gerektiği de unutulmalıdır.
- Whatsapp Hizmet Şartları Uyarınca Kabul Edilebilir Kullanım
Whatsapp Hizmet Koşullarınının ‘’Hizmetlerin Kabul Edilebilir Kullanımı’’ başlıklı maddesinde ‘’Hizmetlerimizi şu yollardan kullanmayacak ve başkalarının bu yollardan kullanmasına yardım etmeyeceksiniz: (f) Hizmetlerimizin tarafımızca yetki verilmeden şahsi olmayan kullanımını içeren.’’ ifadesi yer almaktadır. Bu kapsamda Whatsapp, Hizmet Şartları aracılığıyla kullanıcılara açıkça iş amaçlı Whatsapp uygulaması kullanımının uygun olmadığını belirtmiştir. Bu kapsamda Whatsapp’ın dahi iş süreçlerinde kullanımı uygunsuz bulması, Whatsapp’ın iş amaçlı kullanımı halinde belirli risklerinin olduğunu ve bu kapsamda herhangi bir sorumluluk kabul etmediğini gösterir niteliktedir. Bu konuya ilişkin olarak İngiltere Finansal Hizmetleri Koruma Kurumu tarafından iş süreçlerinde Whatsapp uygulamasının kullanılmasına ilişkin olarak çalışana verilen ceza örnek gösterilebilir. Whatsapp’ın iş süreçlerinde kullanımına ilişkin olarak; İngiltere Finansal Hizmetler Kurumu(UK Financial Conduct Authority) tarafından bir bankacının müşteriye ait gizli bilgileri Whatsapp aracılığıyla paylaşması sebebiyle 37.198 £ para cezası verilmiştir.
- Uçtan Uca Şifreleme Yöntemi
Whatsapp, 2016 yılından bu güne mesajları uçtan uca şifreleme yöntemi ile şifrelemektedir. Uçtan uca şifreleme yöntemi; mesajların, Whatsapp sunucularında kaydedilmemesini, mesajın gönderildiği andan, teslim anına kadar güvenli şekilde iletimini, mesaj içeriğine yalnızca konuşmanın taraflarının erişimi olduğunu ifade eder. Açıklandığı üzere uçtan uca şifreleme yöntemi mesaj gönderim-teslim sürecini ve içeriğini kapsamaktadır. Dolayısı ile kim tarafından kime, hangi tarihte mesaj gönderildiği bilgisi uçtan uca şifreleme yönteminin kapsamı dışındadır. Uçtan uca şifreleme yönteminin koruma sağlayamadığı bir diğer durum ise; cihaza dışarıdan bir erişim sağlanması halinde söz konusu olmaktadır. Uçtan uca şifreleme yöntemi veri aktarımı için en güvenli çözüm olarak görülse de koruma kapsamı sadece mesajların aktarım evresini kapsamaktadır. Bu kapsamda günlük hayatta kendimize ait olmayan bir cihazda iş amacıyla Whatsapp Web kullanmamız, sonrasında cihazdan çıkış yapmayı unutmamız halinde, 3. kişilerin Whataspp hesabımıza erişmesi durumunda, uçtan uca şifreleme yönteminin bu halde hiçbir koruyuculuğu bulunmamakta ve 3. kişiler Whatsapp’ta yer alan tüm verilerimize erişilebilmektedir.
- Whatsapp Kullanımında Üçüncü Taraf Hizmetler
Whatsapp mesajlarının yedeklemesinin google drive ya da iCloud vb yedekleme hizmeti sunan taraflar üzerinden yapılması halinde mesajlar bulutta saklanacaktır, dolayısı ile bulutta saklanan veriler üzerinde uçtan uca şifreleme ile sağlanan koruma bulunmamaktadır. Bu kapsamda bulut hesabına yetkisiz bir erişim halinde Whatsapp yazışmalarının tamamı yetkisiz erişim yapan kişi tarafından görülebilecektir. Dolayısı ile bu şekilde bir yedekleme işlemi yapılması iş süreçlerinde kullanılan tüm verileri de yetkisiz erişim halinde muhtemel risklere açık hale getirmektedir.
- KKVK Uyarınca Mevcut Riskler ve Dikkat Edilmesi Gereken Hususlar
KVKK tarafından yayımlanan Kişisel Veri Güvenliği Rehberi uyarınca; veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir. KVKK tarafından ’’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’’ hakkında yayımlanan 2018/10 sayılı kararının 2/d maddesi uyarınca; görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması gerekmektedir. Bu kapsamda, KVKK uyarınca personelin işten ayrılması ya da görev değişikliği halinde veri sorumlusu tarafından kendisine tahsis edilen envanterin iade edilmesi ve yetkilerinin kaldırılması gerekmektedir. Ancak Whatsapp aracılığıyla iletilen bilgi ve belgelerde böyle bir yetki sınırlandırması mümkün değildir. Dolayısı şirketin Veri sorumlusu sıfatıyla haiz olduğu verilerin Whatsapp aracılığıyla iletilmesi halinde; çalışanın görev değişikliği ya da işten ayrılma durumunda verilere yetkisiz erişim ve KVKK tarafından öngörülen tedbirler yerine getirilmemiş olacaktır. Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alınmamasına ilişkin olarak KVKK m. 18 uyarınca idari para cezaları öngörülmüştür.
Whatsapp sunucularının yurtdışında olması hususu göz önüne alındığında veri sorumlusu tarafından KVKK m. 10 uyarınca ilgili kişilere(personel, müşteri, potansiyel müşteri, vb) aydınlatma yükümlülüğü yerine getirilmeli ve KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarıldığına ilişkin olarak açık rıza alınması gerekmektedir. Kanunda düzenlenen bu yükümlülüklerin yerine getirilmemesine ilişkin olarak KVKK m. 18 uyarınca idari para cezaları öngörülmüştür.
SONUÇ:
- Şahsi kullanım haricindeki kullanımlar, Whatsapp Kullanım Şartlarında dahi uygun kullanım olarak kabul edilmemektedir.
- İş süreçlerinde Whatsapp kullanan bir çalışanın hesabına dışarıdan erişim gerçekleşmesi halinde, şirket verileri, veri ihlallerine ve güvenlik tehditlerine açık hale gelmektedir.
- İş süreçlerinde Whatsapp kullanımı halinde, çalışanların görevlerinin değişmesi ya da işten ayrılmaları durumunda KVKK uyarınca uygulanması gereken teknik tedbirlerden olan yetki sınırlandırması söz konusu olmayacaktır.
- Whatsapp sunucularının yurtdışında olması sebebiyle Whatsapp aracılığıyla kişisel verileri işlenen kişilerin tümüne KVKK m. 10 uyarınca aydınlatma yükümlülüğü yerine getirilerek KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarıldığına ilişkin olarak açık rıza alınması gerekmektedir.
- Açıklanan sebeplerle KVKK ve GDPR ile uyumlu olmayan bir uygulama olan Whatsapp’ın iş süreçlerinde kullanımı oldukça risklidir ve genel itibariyle tavsiye edilmemektedir. İş süreçlerinde kullanımı halinde ise veri sorumlusu tarafından Kanunda öngörülen yükümlülüklerin yerine getirilmesi oldukça önem arz etmektedir.