Top

WHATSAPP’I İş amaçlı Kullanmak Veri İhlali Oluşturur mu?

WHATSAPP’I İş amaçlı Kullanmak Veri İhlali Oluşturur mu?

Whatsapp gibi bireysel uygulamalarının iş amacıyla kullanılması, kişisel verilerin korunması rejimi bağlamında veri ihlali mi sayılır? #kvk #kişiselveri #ihlal #whatsapp

GENEL ÇERÇEVE


Konunun tartışmasına girmeden önce sonda söyleyeceğimizi en başta söylemiş olalım. Benim görüşüme göre iş amacıyla kullanılan bireysel uygulamalar üzerinden kişisel veri içeren paylaşımların tamamı, veri ihlali sayılır. Bu görüşümü, pratikte nasıl çözüme kavuşturulacağı, uygulamanın nasıl mümkün olabileceği gibi tartışma konularına girmeden bir analiz olarak söylemiş olayım. Böylece bir tartışma başlatmış olmayı da umuyorum. Bu noktada bahsettiğim konunun günlük yaşantımızda kişisel iletişim için Whatsapp kullanımı ile ilgili olmadığını belirtmiş olayım. Bahsettiğim durum yalnızca Whatsapp’in iş amacıyla kullanılması ile ilgilidir. Peki bu iddia mı hangi somut bulgu ve olgulara dayandırıyorum?

MODERN VE TEKNO YAŞAMLARIMIZ


İşin temellerinden başlayıp, bu durumu üreten sosyal, ekonomik ve hukuksal şartlara kısaca bir değinelim. Bilgi toplumunda, teknoloji ile iç içe geçmiş yaşamlar sürüyoruz. Artık her şey parmaklarımızın ucunda. Çalışmak, üretmek, öğrenmek ve sosyalleşmek için teknolojiyle bu kadar haşır neşir olmamızın sonucu ise bizi diğerlerinden ayırt eden tüm verilerimizin dijitalleşmesi oldu. Bu lüks yaşamımızı ise yazılım, platform ve onları destekleyen alt yapılar gibi sayısız elektronik hizmet ve ürüne borçluyuz.

Yeni bilgi toplumunun taşıyıcısı olan bilgi ekonomisi de bu kanallar, uygulamalar, platformlar ve altyapılar üzerinden yürüyor. Bu ortamda ekonomik değeri en yüksek olan meta doğal olarak benim, sizin ve hepimizin kişisel verileri oluyor. Avrupa’da 2016 yılında Genel Veri Koruma Yasası (GDPR) yürürlüğe girdi. Aynı yıl ülkemizde yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nu kabul ettik. Dün yani 1 Ocak 2020 tarihinde ise ABD Kaliforniya eyaleti Kaliforniya Tüketici Mahremiyet Yasası (CCPA)’nı yürürlüğe koydu. Bu gibi yasal düzenlemelerin amacı da bilgi toplumuna bir çeki düzen vermek ve bilgi toplumunun yurttaşlarının veri mahremiyetini koruyup, verilerinin güvenliğini sağlamak.

Sosyalleşmek için Facebook, Twitter, Instagram, Tik Tok gibi sosyal medya platformlarını kullanıyoruz. Çalışmak ve üretmek için ise her gün kullandığımız Ofis 365, Google Belgeler gibi uygulamalara bel bağlıyoruz. Aynı zamanda iş amacıyla iletişim kurmak için kullandığımız Slack, Microsoft Teams, Confluence gibi sayısız elektronik çözümlere bel bağlıyoruz.

Hem “veri sahibi” olarak bizim, hem bu servisleri kullanarak bizlere hizmet sunan “veri sorumlularının”, hem de bu hizmetleri işleten “veri işleyenlerin” yeni yasal rejimlere uyumlu hareket etmesi gerekiyor.

WHATSAPP NEDEN SORUN OLUŞTURUYOR?


Genel çerçeveyi çizdikten sonra WhatsApp ve benzeri bireysel uygulamaların neden sorun oluşturduğunu tartışmaya başlayabiliriz. Biz diğer uygulamaları bir kenara bırakıp, örnek uygulama olarak hepimizin her an ve hatta her saniye sadece kişisel değil, iş hayatımızda da kullandığımız WHATSAPP’ odaklanalım.

Kişisel veri ile ilgili sorumlulukları tartışırken ilk yapmamız gereken, incelediğimiz konudaki tarafları yasada belirlenen rollere oturtmak olmalı. Yani kimin veri sahibi, kimin veri sorumlusu ve kimin veri işleyen olduğunu belirlemek gerekiyor.
Hemen söyleyelim, WhatsApp’ın sahibi olan kuruluşu bu yasal çerçeve içerisinde -daha sonra göreceğimiz üzere bu konuda ciddi bir sorun olmakla beraber- “veri işleyen” rolüne oturtabiliriz.

Whatsapp, Yahoo’nun eski çalışanları olan Brian Acton ve Jan Koum tarafından 2009 yılında kurulmuş. WhatsApp, Şubat 2014’te Facebook tarafından 21.8 milyar Dolar verilerek satın alındı. Yani WhatsApp ile ilgili kurumsal muhatabımız, dolasıyla KVK kapsamında “veri işleyen”imiz aslında Facebook. Bunu bir kenara yazalım.

Whatsapp’ın kişisel verilerin korunması bağlamında şu üç alanda büyük sorun oluşturuyor:

  1. Whatsapp’ta kullanıcı hesabı oluşturan kişinin telefon rehberinin tamamının otomatik olarak Whatsappla paylaşılması durumu. Bir başka ifade ile biz durumdan habersiz ve onay verme konumunda olmayan üçüncü kişilerin bilgilerini Facebook ile paylaşmış oluyoruz.
  2. Whatsapp platformunu bir elektronik ticaret platformu olarak kullanıp, bu kanal üzerinden satış yapılması ki bu durumda da müşterilerin kişisel verilerini Facebook ile paylaşmış oluyoruz.
  3. Whatsapp’ın günlük iş hayatında veri paylaşımı için kullanılması. En sorunlu olan ve çözümü zor görünen bir konu olarak bunu bir kenara not edelim.

Bu üç sorun alanına yazımızın devamında değinmeye devam edeceğiz. Ama biz önce KVK kapsamında rol tanımlamasını yapmaya çalışalım.

WHATSAPP’IN SAHİBİ FACEBOOK “VERİ İŞLEYEN” SAYILIR MI?


KVK’nın 2. maddesinde sayılan tanımlar arasında veri işleyenin tanımı da var. Buna göre veri işleyenveri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.” Veri işleyeni, veri sorumlusundan ayıran en önemli fark, işlenen verinin işleme amaçlarını ve vasıtalarını belirlemiyor olması, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olmamasıdır. Bir başka ifade ile veri işleyenler, sistemleri üzerinden hangi verinin, hangi amaçla işlendiğini ve nasıl işleneceğine karar vermezler ve karışmazlar.

Buna bir örnek olarak size elektronik posta hizmeti sunan kuruluşları gösterebiliriz. Bu kuruluşlar size elektronik posta gönderip sunmanız için gerekli sunucu, ağ ve uygulama şartlarını sağlarlar ama bu hizmetler üzerinden sizin elektronik postalarınızı hangi amaçla, nasıl kullanacağınızla ilgilenmezler.

Teknik açıdan baktığımızda WhatsApp kendi üzerinde hangi verilerin, ne amaçla kimlerle paylaşıldığına karışmıyor. Bir hizmet olarak bize tıpkı bir elektronik posta hizmet sağlayıcısı gibi bunları yapabilmemiz için gerekli ağ, uygulama ve hizmet altyapısını sunuyor. Buraya kadar her şey normal ve whatsapp’ın sahibi Facebook olduğu için Facebook bu ilişkide “veri işleyen” sayılabilir.

Ancak dananın kuyruğu tam olarak burada kopuyor. Zira bir kuruluşu “veri işleyen” sayabilmemiz için teknik şartların yanı sıra bir de hukuki şartın yerine getirilmesi yani “veri sorumlusundan bir yetki” almış olması gerekiyor. Yetki devrinin olabilmesi için veri sorumlusu ve veri işleyen arasında yetki devrini sağlayan bir sözleşmeye ihtiyaç var.

Sorun şu ki, WhatsApp yazılımını cihazlarına kuranlar bireyler. Veri sorumlusunun çalışanı olan bu bireyler cihazlarına WhatsApp kurarken veya Whatsapp’ı kullanırken, kuruluşlarından izin veya onay almadıkları gibi veri sorumlusu olan kuruluşlar WhatsApp kullanımı ile ilgili Facebook’la bir sözleşme yapıyor da değiller.

Kısacası normal şartlar altında “veri işleyen” olarak rol biçebileceğimiz Facebook ile veri sorumlusu olan kuruluşumuz arasında hiç bir hukuki ilişki yok. Böyle bir ilişki var olmadığı için, yetki devrinden de söz edemiyoruz. Şimdi üç büyük problemimize geri dönüp, bu yeni durum açısından sorunları değerlendirelim.

YURT DIŞINA VERİ TRANSFERİ


Yetki sorununu daha büyük bir problem haline getiren bir sorunumuz daha var. Zira kullandığımız uygulama ve yazılımların neredeyse tamamı WHATSAPP da dahil yurt dışına veri transferi yapan uygulamalar. Bu uygulamaların sunduğu servislerin pek çoğu dünyanın farklı konumlarına dağılmış sunucular üzerinden bulut hizmet olarak sunuluyor.

Yurt dışına veri aktarımı “Kişisel Veriler Kanunu”nda özel olarak düzenlenmiş bir durum. 6698 sayılı ilgili yasanın 9. maddesinde de belirtildiği üzere hem yabancı bir ülke Kişisel Verileri Koruma Kurumu (KVKK) tarafından “yeterli korumanın bulunduğu ülke” statüsünde kabul edilmediği sürece “kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.”. 

Şimdiden söyleyelim, KVKK henüz hiç bir ülke hakkında “yeterli korumanın bulunduğu ülke” statüsü tanımış değil. Öyleyse bu servisleri kullanırken yaptığımız veri işlemenin faaliyetleri “yurt dışına veri aktarımı” kapsamına giriyor ve bu durumda kişisel verilerin işlediğimiz gerçek kişilerin açık rızasını bu konuda almamız da şart haline geliyor. 

Yurt dışı veri transferi konusuna genel olarak baktığımızda, aydınlatma metinlerini buna göre düzenlemek, amaçları uygun hale getirmek ve sonuçta gerçek kişilerin yani veri sahiplerinin açık rızasını almak gibi çözümler üretmek mümkün. Ancak yasal olarak geçerli bir yetkilendirmenin olmadığı bireysel mobil uygulamalar gibi durumlarda, veri sahibinin nasıl olup da bilgilendirileceği ve açık rızasının alınacağı tartışmalı bir konu.

TELEFON REHBERİNİN WHATSAPP İLE PAYLAŞILMASI

Whatsapp’la ilgili ilk akla gelen sorun, telefonumuza uygulamayı kurduğumus anda, telefon rehberimize erişmesi ve orada bulduğu bütün üçüncü kişilerin bilgilerini (isim soyismi, telefon, email vs.) kendi sunucularına yüklüyor olması.

Alman Continental AG firması bu durumu gerekçe göstererek 36 bin çalışanının WhatsApp ve SnapChat uygulamalarının kullanımını yasakladı. Continental’e göre çalışanların bu uygulamaları kullanıyor olmalarından doğan risk, özellikle GDPR yasası yüzünden, şirketin üstlenebileceğinden çok daha büyük (Kaynak: cnbc). Continental’in bu kararı üzerine açıklama yapma gereği yapan SnapChat’e göre ise “kişilerin verilerini SnapChat ile paylaşıp paylaşmamak tamamen kullanıcının vereceği karara bağlı”.

Burada sorun, kişinin özel ve iş amaçlı bağlantılarının ayırt edilemiyor olmasından kaynaklanıyor. Bir kişi kendi telefon rehberini Whatsapp’la paylaşmayı kabul edebilir ama bu kişi aynı zamanda Continental’in (veya sizin kuruluşunuzun) çalışanı olarak iş amacıyla topladığı bağlantıların bilgilerini de paylaşmış oluyor. Bu sorunun Mobil Cihaz Yönetimi yazılımları ile çözülebileceğini düşünenler de var. Böylece şirketler, dağıttıkları akıllı telefonların ve tabletlerin hem cihaz, hem de uygulama kontrolünü tek merkezden yapabilir ve kişisel ve iş amacıyla toplanan bağlantı bilgilerini ayırt etme imkanına sahip olabilirler.

Ancak bu çözümlerin hiç biri kuruluşla yani veri sorumlusu ile Facebook veya Snapchat arasında yetkilendirme sağlaması beklenen bir sözleşmenin bulunmuyor olmasına bir çözüm getirmiyor.

WHATSAPP’IN E-TİCARET AMACIYLA KULLANILMASI

Whatsapp’ın toplam kullanıcı sayısı inanılmaz. Tam 1,5 milyar kişiden bahsediyoruz. Yeryüzündeki her beş insandan birisi WhatsApp kullanıcısı. Bu potansiyelin doğal bir sonucu şirketlerin ve diğer kuruluşların Whastapp’ı bir eticaret platformu olarak kullanmaya başlamaları oldu. GDPR’ın daha ilk yılında 56 milyon Avro ceza ödemek zorunda kalmış olan Facebook, müşterilerin kişisel verilerinin kullanıldığı eticaret uygulamalarına bir düzen getirmek için WHATSAPP BUSİNESS isimli ayrı bir uygulama geliştirdi. Artık kuruluşlar kurumsal WHATSAPP hesabı açma imkanı sunuyor.
WHATSAPP BUSİNESS’ı indirdiğinizde göreceğiniz üzere Facebook, bu ortamda kuruluş ile resmi bir sözleşme imzalıyor ve yetkili bir “veri işleyene” dönüşüyor. Sorumlu bir veri işleyen gibi de GDPR yüzünden doğabilecek zararlardan korunabilmek için siz “veri sorumlusu” ile koruyucu maddeler içeren bir çok belgeyi şart koşuyor.

Şu anda Whatsapp’ı e-ticaret amacıyla kullanan kuruluşların ne kadarının WHATSAPP BUSINESS uygulamasından haberleri olduğunu bilmiyoruz. Gördüğümüz kadarıyla pek çoğu hala normal WHATSAPP yazılımını kullanamaya devam ediyorlar. Bir önlem alarak WHATSAPP BUSINESS uygulamasına geçmelerini önermek mümkün. Bunu yaparken de kuruluşa ait bir telefon hattı üzerinden, kuruluşa ait bir akıllı telefonun kullanılmasının iyi olacağını hatırlatmakta fayda var.

WHATSAPP’IN İŞ HAYATINDA VERİ AKTARIMI İÇİN KULLANILMASI

Asıl sorunun burada olduğunu düşünüyorum. Ben, siz ve pek çoğunuz Whatsapp’ı her gün iş amacıyla kullanıyoruz. İş arkadaşlarımızla, ortaklarımızla, tedarikçilerimizle, yöneticilerimizle, müşterilerimizle WhatsApp üzerinden iletişim kuruyoruz. Bu iletişim iki tarafın onayıyla gerçekleştiği için özü itibariyle sorunlu değil. Sonuç itibariyle size gelen WhatsApp bağlantı isteğini kabul etmek zorunda değilsiniz ve istemediğiniz kişilerle iletişimi kesebilirsiniz.

Sorun iş amacıyla WhatsApp üzerinden kurduğumuz iletişim esnasında yaptığımız paylaşımlarla ilgili. Eminim pek çoğunuz bir resmi işlemi tamamlamak için WhatsApp üzerinden kimlik bilgilerinizi paylaşmış veya başkalarının kimlik bilgilerini istemiş ve almışsınızdır. Pek çoğunuz müşterilerin kişisel bilgilerini içeren EXCEL dosyalarını iş arkadaşlarınızla, bayilerinizle yine WhatsApp üzerinden paylaşmışlığınız vardır. Ya da bir çalışanınıza hakkındaki icra kararını PDF olarak insan kaynakları müdürü ile WHATSAPP üzerinden paylaştığınız bir durum düşünün. Bu dosyayı kendisi de “veri sorumlusu”nun bir çalışanı olan müdürünüzle paylaşıyor olmanız, meşru menfaat sayılacağından bir sorun oluşturmaz. Asıl sorun bu verilerin WHATSAPP sunucuları üzerinden FACEBOOK ile paylaşılıyor olması.

Şunu bilmemiz gerekiyor ki WHATSAPP üzerinden paylaştığınız her şey, mesaj olsun, eklenti olsun, dosya olsun sadece muhatabınızla değil, bu hizmeti size sunmak için gerekli alt yapıyı sağlayan WHATSAPP yani FACEBOOK ile de paylaşılıyor olması ve paylaştığınız özel nitelikli olsun ve diğer tüm verilerin aynı zamanda yurt dışı ile de paylaşılıyor olması.

DÜŞÜNCELER


Bütün bunlardan sonra kendi görüşümü sizinle tekrar paylaşabilirim. Benim görüşüme göre hepimizin hemen hemen her gün yaptığımız gibi işimizin gereği içinde aralarında özel niteliklilerde olmak üzere pek çok kişisel verileri barındıran dosya paylaşıyoruz. Bu ise açık söylemek gerekirse Kişisel Verileri Koruma Yasasının oluşturduğu hukuksal rejim çerçevesinde bir “veri ihlali” durumu oluşturmaktadır.

Kısaca özetlemek gerekirse çalışanlar, kendi mobil cihazları üzerine -kuruluş tarafından verilmiş olsa dahi- kurdukları WhatsApp gibi bireysel iletişim uygulamaları üzerinden kişisel veri içeren dosyaları ve mesajları ile paylaşıyor olmaları, yetkisiz bir işlemdir. Bu yetkisizlik sebebiyle WHATSAPP’ın kişisel verilerin korunması bağlamında “veri işleyen” olarak müteselsilen sorumlu tutulması mümkün değildir. İşlem yetkisiz olduğu için bunun veri sahibine sunulacak aydınlatma metninde yasal bir durummuş gibi açıklanması da mümkün olmaz. Ve işlem yurt dışı veri transferi ile yapıldığından mutlaka alınması gereken “açık rıza”nın da yasal şartlarının oluşması mümkün değildir.

GDPR olsun, KVK olsun bu alandaki yasaların “veri ihlali” durumunda tanımladığı cezaların ağırlığını da hesaba katarsak sorunun büyüklüğü hakkında bir fikir sahibi olabiliriz. Sonuçta Whatsapp gibi uygulamalar, kuruluşların kontrolleri dışındaki bir alanda hukuksal zemini olmadan veri paylaşımı yapılmasına sebep oluyorlar.

TARTIŞMA


Bu kadar yaygın ve sık yaşanan bir veri ihlalinin çözümünü, çoğunluğu itibariyle kişisel verilerin korunmasını hayatlarında ilk kez “veri sorumlusu” olarak görülen gerçek veya tüzel kişilerden beklemek ne kadar adil olur bilemiyorum. Şu aşamada kurum ve kuruluşlara önerebileceğim tek şey, Whatsapp gibi son kullanıcı hizmetleri sunun uygulamalar yerine, kurumsal kullanıcılara da hizmet sunan çözümler aramaları olabilir. Ya da Alman Continental AG firması gibi çalışanların WhatsApp kullanımının yasaklanması da düşünülebilir.

Tabii bunun günlük iş yaşamının akışında ne kadar uygulanabilir olduğu da ayrı bir tartışma konusu.
Yine de bu yazıyla kişisel verileri koruma konusunun ne kadar karmaşık olabileceğini, iş yapma şeklimize ne kadar büyük etkileri olabileceğini gösteren bir konu olarak sunuyorum. Kişisel verilerin korunması bağlamında bu ve bunun gibi pek çok sorunun basitçe geçiştirilemeyecek kadar ciddi olduğunu göstermesi bakımından önemsiyor ve bu konuda bir tartışmayı başlatmış olmayı umuyorum. 

Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
1 Comment
  • Avatar
    Elif

    Merhaba öncelikle bu güzel yazınız için size teşekkür ediyorum. Acaba yazıda kullandığınız kaynakları paylaşma ihtimaliniz var mı?

    21 Aralık 2020 at 20:48 Cevapla

Yorum Yapın