Dijital hayatın artık hayatımızın her alanına dokunduğu bugünlerde, kullanıcılarından ferdî bilgilere erişim müsaadesi mukavelesi gönderen WhatsApp, tüm dünyada olduğu üzere Türkiye’de de tartışma konusu oldu. Birçok kişi bilgilerinin paylaşılmasına müsaade vermeyerek uygulamayı cep telefonlarından sildi. Birçoğu ise farklı uygulamalara geçerek kendini teminata aldığını söyledi.
2016 yılında yürürlüğe giren 6698 sayılı Şahsî Dataları Müdafaa Kanunu kapsamında bilhassa şirketler de iş maksadıyla kurulan WhatsApp kümelerinin büyük yaptırımlara tabi olabileceğini söyleyen Olcay Er, “Sunucuları yurtdışında bulunan rastgele bir anlık iletileşme uygulaması kullanan şirketler, şirket yöneticileri ve çalışanları, KVK Kanunu’nu tekrar gözden geçirmelidir. Bu uygulamalar üzerinden yapılan yazışmaların içeriği, kullanıcının niyeti bu formda olmasa da yurtdışına aktarılmış sayılmaktadır. Örneğin içinde şirket yetkilisinin, İK müdürünün ve muhasebe sorumlusunun olduğu bir WhsatsApp kümesi düşünelim, İK işe girişine karar verdiği çalışan adayına ilişkin kimlik fotokopisini ve sıhhat raporunu bu kümeye atıyor ve muhasebe departmanı da özlük evrakını ve SGK işe giriş bildirgesini hazırlıyor. KVK Kanununa nazaran çalışan adayının kimlik ve sıhhat bilgileri yurtdışına paylaşılmış sayılacaktır. Ve bunun 2 Milyon TL’ye kadar idari para cezası vardır” dedi.
ÇALIŞANDAN “AÇIK RIZA” ALINMASI GEREKİYOR
Er, şirketlerin kullandığı WhatsApp kümelerinde yapılan paylaşımların mevzuata uygun olarak kullanılabilmesi için yapılması gerekenleri şu formda anlattı:
“İlgili kişinin açık isteği. Yani, çalışana kimlik ve sıhhat bilgilerinin anlık iletileşme uygulaması vasıtasıyla yurtdışına aktarılacağı hakkında bilgi verilmeli ve çalışan adayına onay verip vermediğinin sorulması gerekmektedir. Ferdî bilginin aktarılacağı ülkenin KVK Kurulu’nun açıkladığı ‘Güvenli Ülkeler Listesi’sinde yer alması gerekmektedir. Lakin maalesef şimdi bu ülkeler belirlenememiştir. Gerek ülkeler ortasındaki bürokratik pürüzler gerekse teknik kuralların zorluğu sebebiyle uzunca bir müddet bu ülkelerin belirlenemeyeceğini düşünüyorum. Ayrıyeten, Türkiye’deki ve ilgili yabancı ülkedeki data sorumlularının kâfi bir muhafazayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun bu taahhütleri kabul edip müsaade vermiş olması gerekmektedir. Bu şart da fiilen imkansızdır. Zira, şirketler tek tek WhsatsApp ile şuranın belirlediği formda taahhütname imzalamaları gerekmektedir. Özetle, WhsatsApp, Signal, Telegram, Office 365, Gmail, Yandex üzere sunucusu yurtdışında olan rastgele bir uygulama üzerinden içinde isim, soy isim, adres, bağlantı bilgisi, pozisyon, finansal bilgiler, sıhhat raporu üzere ferdî bilgi barındıran bir yazı, fotoğraf yahut evrak gönderdiğinizde KVK Kanunu’na alışılmamış hareket etmiş oluyorsunuz.”
EĞİTİM VE KONTROL KAİDE
Şirketlerin profesyonel olarak şahsî data kontrolünü yaptırması ve çalışanlarına bu mevzuda eğitimler vermesi gerektiğine dikkat çeken Er, “KVK Kanunu’nun 12. Maddesi’ne nazaran şirketler, ferdî bilgilerinin kanuna uygun işlenmesi, erişilmesi ve aktarılması için gerekli tüm idari ve teknik önlemleri almakla yükümlü kılınmıştır. Münasebetiyle, hem teknik olarak data transfere ait hakikat araçlarını çalışanlarına sunmak, hem de çalışanlarına kanun kapsamında tertipli farkındalık eğitimleri vermek ve bu konuları denetlemek zorundadır” diye konuştu.
Cumhuriyet