WhatsApp ve Telegram Şirketiniz İçin Güvenli mi? KVKK Rehberi
“Hemen WhatsApp’tan atıyorum” cümlesi iş hayatının en yaygın kalıplarından biri. Ama bu pratiklik sessiz bir yasal risk taşıyor. Müşteri belgelerini, sözleşmeleri ya da personel bilgilerini WhatsApp veya Telegram üzerinden paylaşmak, KVKK kapsamında doğrudan ihlal sayılabilir.
Bu rehberde neden risk oluştuğunu, WhatsApp ile Telegram’ın teknik farklarını, gölge veri tehlikesini ve kurumunuzu korumanın somut yollarını sade bir dille anlatıyoruz.
Temel sorun: Yurt dışı sunuculu uygulamalarla gönderilen belgeler, KVKK kapsamında yurt dışına veri aktarımı sayılır.
WhatsApp: Mesaj içerikleri şifreli ama kim, ne zaman, kimle konuştu bilgisi Meta’ya gidiyor. Çoklu cihaz kullanımı sızıntı riskidir.
Telegram: Standart mesajlar uçtan uca şifreli değil. Grup konuşmaları Telegram sunucularında açık tutuluyor.
Çözüm: Kurumsal cihaz yönetimi (MDM), yazılı politikalar, güvenli API entegrasyonları.
1. Mesajlaşma Uygulamaları Neden KVKK Riski Oluşturuyor?
WhatsApp veya Telegram’dan bir mesaj gönderdiğinizde, o veri saniyeler içinde yurt dışındaki sunuculara ulaşıyor. Bu durum KVKK’nın 9. maddesi kapsamında yurt dışına veri aktarımı sayılır. Sıradan bir konuşma bile bu kapsama girebilir; müşteri adı, telefon numarası ya da belge içeriği taşıyorsa kesinlikle girer.
2024’te ne değişti?
Yeni düzenlemeyle birlikte her müşteriden ayrı ayrı “açık rıza” almanın getirdiği zorluk aşıldı. Ama bunun yerine yeni bir yükümlülük geldi: WhatsApp Business API gibi kurumsal araçlar kullanıyorsanız Meta gibi platformlarla Standart Sözleşme imzalamanız ve bunu 5 iş günü içinde KVKK Kurulu’na bildirmeniz zorunlu. Bildirimi atlayanlar, herhangi bir veri sızıntısı yaşamasa bile para cezasıyla karşılaşıyor.
2. WhatsApp Gerçekten Güvenli mi?
WhatsApp’ın uçtan uca şifreleme kullandığı doğru. Mesajınızın içeriğini WhatsApp bile okuyamaz. Ama siber güvenlikte yalnızca içerik değil, mesaj dışındaki veriler de büyük önem taşır.
Mesaj dışındaki veriler Meta’ya gidiyor
WhatsApp şu bilgileri işler ve Meta sunucularına gönderir: kiminle, ne zaman, ne sıklıkla konuştuğunuz; IP adresiniz; cihaz bilgileriniz; konumunuz; telefon rehberinizdeki tüm numaralar. Bu veriler bir araya geldiğinde kurumunuzun müşteri portföyü, iş ilişkisi kurduğu kişiler ve çalışma saatleri dışarıya aktarılmış oluyor. KVKK’nın koruduğu şey tam da bu tür bilgilerin kontrolsüz biçimde dışarı çıkmasıdır.
Çoklu cihaz kullanımı neden risk oluşturuyor?
WhatsApp Business, aynı numarayı birden fazla cihazda açık tutmaya izin veriyor. Küçük ve orta ölçekli işletmeler bu özelliği sıkça kullanıyor. Ama bu durumda birkaç sorun ortaya çıkıyor:
- İşten ayrılan personelin cihazındaki oturumu kapattığını garanti edemezsiniz.
- Kötü niyetli bir çalışan tüm müşteri yazışmalarını ve belgelerini saniyeler içinde dışarı aktarabilir.
- Müşterinin gönderdiği kimlik fotokopisi ya da sözleşme, o an WhatsApp Web açık olan tüm cihazların önbelleğinde kopyalanır.
KVKK, veriyi kimin işlediğini, kimin gördüğünü ve nerede tutulduğunu bilmenizi ve kontrol etmenizi zorunlu kılıyor. Standart WhatsApp kullanımı bu kontrolü sağlamaz.
3. Telegram’da Mesajlar Şifreli Değil
Telegram kurumsal dünyada giderek popüler hale geliyor. “WhatsApp’tan daha güvenli” algısı da bu popülerliği besliyor. Ancak bu yaygın kanı, veri gizliliği açısından yanıltıcı.
Standart mesajlar sunucuda açık duruyor
WhatsApp’ta mesajlar telefonunuzda saklanır. Telegram’da ise standart sohbetler tamamen bulut tabanlıdır. Bir iş arkadaşınıza ya da müşterinize dosya attığınızda, bu dosya doğrudan Telegram’ın küresel sunucularına yüklenir.
Önemli olan nokta şudur: Telegram’da standart mesajlar uçtan uca şifreli değildir. Mesaj cihazınızdan sunucuya giderken şifrelenir, ama sunucuda depolanan veriyi Telegram kendi anahtarlarıyla çözebilir. Sunucular saldırıya uğrasa ya da şirket politikası değişse, o güne kadarki tüm yazışmalar erişilebilir hale gelebilir.
“Gizli Sohbet” özelliği kurumsal kullanıma yetmiyor
Telegram’da uçtan uca şifreleme yalnızca “Gizli Sohbet” seçeneğiyle aktif oluyor. Bu özelliği her konuşmada manuel olarak başlatmak gerekiyor. Üstelik şu kısıtlamalar var:
- Gizli sohbetler cihaz bazlıdır; Telegram Web üzerinden okuyamazsınız.
- Grup sohbetlerinde uçtan uca şifreleme mevcut değil. Şirket içi tüm departman gruplarınız teknik olarak sunucuda şifresiz duruyor.
KVKK, veri sorumlusuna uygun güvenlik düzeyini sağlama yükümlülüğü getiriyor. Şirket bilgilerini yabancı bir sunucuda şifresiz tutmak bu yükümlülüğü açıkça ihlal eder.
4. Gölge Veri Nedir ve Neden Bu Kadar Tehlikeli?
“Biz müşterilerle değil, sadece kendi aramızda konuşuyoruz” düşüncesi çok yaygın. Ama asıl risk tam olarak bu iç konuşmalardan kaynaklanıyor.
Gölge BT nedir?
Bilgi işlem departmanının onaylamadığı, resmi envanterde yer almayan yazılım ve uygulamaların çalışanlar tarafından iş amacıyla kullanılmasıdır. Çalışanlar kötü niyetli oldukları için değil, sadece işi hızlı halletmek istedikleri için kişisel WhatsApp hesaplarından “Satış Ekibi”, “Muhasebe Onayları”, “Pazarlama” gibi gruplar kurarlar.
Bu gruplarda ne birikir?
Zamanla bu grupların içine ciddi veriler yığılır:
- Personelin birbirine attığı SGK bildirgesi veya sağlık raporu görüntüleri.
- Müşteri şikayetlerini çözmek için çekilmiş ekran görüntüleri: müşteri adı, telefonu, sipariş detayı.
- Henüz kamuoyuyla paylaşılmamış finansal tablolar veya yönetim kararları.
Bir çalışan işten kötü bir şekilde ayrıldığında ne olur? Telefonundaki verilere müdahale edemezsiniz. Şirket hattı dahi olsa WhatsApp hesabı çalışanın kontrolündedir. KVKK, işleme amacı sona eren verinin silinmesini ya da anonim hale getirilmesini zorunlu kılıyor. Ama nerede hangi verinin bulunduğunu bilmediğinizde bu yükümlülüğü yerine getirmek mümkün değildir.
5. KVKK Cezaları Ne Kadar Olabilir?
Bunlar yalnızca teorik riskler değil. KVKK Kurulu, mesajlaşma uygulamalarına dayalı ihlallerde somut cezalar uyguladı. 2024 ve sonrasında veri güvenliği ihlalleri için belirlenen üst limitler her yıl yeniden değerleme oranıyla güncelleniyor ve milyonlarca liraya ulaşabiliyor.
Kamu kurumları için durum
Kamu kurumlarında resmi iş ve belgelerin WhatsApp veya yabancı uygulamalar üzerinden yürütülmesi yasaklanmış ve disiplin suçu kapsamına alınmıştır. Bu durum “veri egemenliği” ilkesiyle doğrudan ilişkilidir.
Özel şirketler için durum
Çalışanları kişisel telefonlarını iş amacıyla kullanmaya zorlamak ihlal sayılmaktadır. Bir çalışanın kişisel telefon numarası kişisel veridir; onayı olmadan iş gruplarına eklenemez.
72 saatlik bildirim zorunluluğu
Eski bir çalışanın WhatsApp grubundaki müşteri verilerini sızdırdığını öğrendiğinizde, bunu 72 saat içinde KVKK Kurulu’na bildirmek zorundasınız. Ama WhatsApp’ta kayıt tutma özelliği yoktur; verinin ne zaman sızdığını ya da kimin aldığını tespit etmek çoğu zaman mümkün olmaz. Bu da cezayı artıran bir etkendir.
6. Kurumlar İçin Pratik Çözümler
Sorun tespit edildi. Ama çözüm, herkesin telefonunu elinden almak değil. İş dünyası yavaşlamayı kabul etmez. Yapılması gereken şey, kontrol edilebilir ve izlenebilir bir iletişim yapısı kurmaktır.
| Tedbir Türü | Ne Yapılmalı? | Ne İşe Yarar? |
|---|---|---|
| İdari | BYOD (Kendi cihazını getir) politikası yazılması | Çalışanların kişisel cihazlarında şirket verisinin sınırlarını çizer, yasal zemin oluşturur. |
| İdari | Standart sözleşmelerin yönetimi | Yurt dışı servislerde Kurul’a zamanında bildirim yaparak hukuki güvence sağlar. |
| Teknik | MDM (Mobil Cihaz Yönetimi) yazılımı kurulumu | Çalışan telefonu kaybederse ya da işten ayrılırsa içindeki şirket verisini uzaktan silmeyi sağlar. |
| Teknik | Kurumsal iletişim platformlarına geçiş | WhatsApp yerine Slack, Microsoft Teams veya yerli sunuculu uygulamalar kullanıldığında veri şirkette kalır. |
| Teknik | DLP (Veri Sızıntısı Önleme) sistemleri | Kimlik numarası, kart bilgisi gibi hassas verilerin mesajlaşma uygulamalarıyla dışarı çıkmasını otomatik engeller. |
Adım 1: Yazılı kural oluşturun
İlk adım, kurumda hangi bilgilerin WhatsApp üzerinden paylaşılabileceğini (örneğin toplantı saati gibi genel bilgiler) hangilerinin paylaşılamayacağını (sözleşmeler, kimlikler, finansal veriler) net biçimde belirleyen bir mesajlaşma politikası yayınlamaktır. Bu belgeyi tüm çalışanlara imzalatın.
Adım 2: İş verisini kişisel uygulamalardan izole edin
Personel kendi telefonunu kullanıyorsa, telefonda “İş Profili” oluşturun. Bu teknoloji telefonu iki ayrı alana böler: iş alanındaki bir dosyayı kişisel WhatsApp’a yapıştırmak teknik olarak engellenir. MDM yazılımları bu işin temelidir.
Adım 3: Kurumsal platformlara geçin
Şirket içi yazışmalar için tüketiciye yönelik (WhatsApp/Telegram) araçları terk edin. Verinin Türkiye’deki sunucularda barındırıldığı yerli çözümler ya da kurumun kendi kontrolündeki sunucularda çalışan uygulamalar tercih edilmelidir. Personelin bu geçişe direneceğini hesaba katın; kullanımı kolay bir platform seçmek başarı şansını artırır.
Adım 4: Müşteri iletişimini merkeze bağlayın
Müşterileriniz WhatsApp’tan ulaşmak istiyorsa bireysel hesaplar yerine WhatsApp Business API kullanın. API üzerinden mesajları doğrudan kendi sistemlerinize (CRM) çekin. Böylece personelin telefonunda veri kalmaz, tüm yazışmalar şirketinizin kontrol ettiği bir sistemde kayıt altında tutulur.
Sık Sorulan Sorular
Müşteri kendi TC kimliğini WhatsApp’tan atarsa şirket ceza alır mı?
Evet, sorumluluk veri sorumlusuna aittir. Müşterileri güvenli kanallara yönlendiren bir uyarı ve şirket politikası olmak zorundadır. “Müşteri kendisi attı” gerekçesi KVKK’da sorumluluktan kurtarmaz.
Personelin telefonundaki şirket grubunu silebilir miyim?
Doğrudan müdahale etmek mümkün değil. Ancak baştan doğru altyapıyı kurarsanız — sözleşme ve MDM yazılımlarıyla — verinin çalışanın kişisel cihazında kalmamasını sağlayabilirsiniz. Önlem almak, sonradan çözmeye çalışmaktan çok daha kolaydır.
WhatsApp’tan tamamen vazgeçmeli miyiz?
Hayır. İç yazışmalarınızı daha güvenli platformlara taşımalı; müşteri iletişimini ise WhatsApp API gibi merkeze entegre ve kayıt tutan sistemler üzerinden yürütmelisiniz. Tamamen vazgeçmek yerine kontrol altına almak doğru yaklaşımdır.
