Kamu Kurumlarında Yurt Dışı Menşeli Haberleşme Uygulamaları Riski
Yayınlanma Tarihi: | Kategori: Veri Güvenliği & KVKK
İçindekiler
- 1. KVKK Kamuoyu Duyurusunun Önemi ve Arka Planı
- 2. Yurt Dışı Kaynaklı Uygulamaların Yarattığı Güvenlik Riskleri
- 3. Kişisel Verilerin Yurt Dışına Aktarımı ve Hukuki Boyut
- 4. Bilgi ve İletişim Güvenliği Rehberi Ne Diyor?
- 5. WhatsApp, Telegram ve Benzeri Uygulamaların Alternatifleri
- 6. Kamu Çalışanları ve Kurumlar İçin Uygulama Rehberi
- 7. Veri Egemenliği ve Ulusal Güvenlik
- Sıkça Sorulan Sorular (SSS)
Dijital dönüşüm çağında iletişim hızlanırken, veri güvenliği endişeleri de aynı paralelde artış göstermektedir. Özellikle kamu kurumlarında yürütülen hassas operasyonlar ve vatandaşlara ait kişisel verilerin korunması, devletin en öncelikli gündem maddelerinden biridir. Kişisel Verileri Koruma Kurumu (KVKK), son yayınladığı kamuoyu duyurusu ile kamu kurum ve kuruluşlarında yurt dışı menşeli haberleşme uygulamalarının (WhatsApp, Telegram, Signal vb.) kullanımı konusunda çok ciddi uyarılarda bulunmuştur. Bu makalede, KVKK’nın işaret ettiği riskleri, 6698 sayılı Kanun kapsamındaki yükümlülükleri ve kamu personelinin dikkat etmesi gereken hususları derinlemesine inceleyeceğiz.
1. KVKK Kamuoyu Duyurusunun Önemi ve Arka Planı
Teknolojinin gelişmesiyle birlikte akıllı telefonlar ve anlık mesajlaşma uygulamaları iş hayatının vazgeçilmez bir parçası haline gelmiştir. Dosya paylaşımı, grup kurma kolaylığı ve konum gönderme gibi özellikler, kamu personelinin de bu uygulamaları iş süreçlerinde kullanmasına neden olmaktadır. Ancak KVKK, bu "kullanım kolaylığının" arkasında yatan büyük veri güvenliği açığına dikkat çekmektedir.
Kurumun yaptığı duyurunun temelinde, kamu hizmetlerinin sunumu sırasında ortaya çıkan verilerin, Türkiye sınırları dışına çıkması riski yatmaktadır. Kamu güvenliği, ulusal çıkarlar ve vatandaş mahremiyeti söz konusu olduğunda, verinin nerede saklandığı stratejik bir önem taşır. Yurt dışı menşeli uygulamalar, sunucularını genellikle Türkiye dışında barındırdığı için, bu platformlar üzerinden yapılan her türlü resmi yazışma, teknik olarak "yurt dışına veri aktarımı" anlamına gelmektedir.
2. Yurt Dışı Kaynaklı Uygulamaların Yarattığı Güvenlik Riskleri
Birçok kullanıcı, "Uçtan uca şifreleme (End-to-End Encryption)" ibaresini gördüğünde verilerinin tamamen güvende olduğunu düşünür. Ancak KVKK ve siber güvenlik uzmanları, riskin sadece mesajın içeriğiyle sınırlı olmadığını belirtmektedir.
- Meta Veri (Metadata) İşleme: Mesaj içeriği şifreli olsa bile; kiminle, ne zaman, nerede, ne sıklıkla konuştuğunuz, IP adresiniz ve cihaz bilgileriniz bu şirketler tarafından işlenebilir ve profillenebilir.
- Yedekleme Açıkları: Mesajlar cihazda şifreli dursa da, bulut yedeklemeleri (Google Drive veya iCloud gibi) şifresiz veya şifre anahtarı servis sağlayıcıda olacak şekilde saklanabilmektedir.
- Yabancı Yasa Yaptırımları: Yurt dışı menşeli firmalar, bağlı oldukları ülkenin yasalarına (örneğin ABD'de CLOUD Act) tabidir. Bu durum, yabancı devletlerin talep etmesi halinde verilere erişim riskini doğurur.
3. Kişisel Verilerin Yurt Dışına Aktarımı ve Hukuki Boyut
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 9. maddesi, "Kişisel verilerin yurt dışına aktarılması" konusunu düzenler. Kanuna göre kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
"Kamu kurumlarında yürütülen hizmetler sırasında işlenen veriler genellikle kanunlarda öngörülen nedenlerle veya bir hukuki yükümlülüğün yerine getirilmesi amacıyla işlenmektedir. Bu süreçte yurt dışı menşeli bir uygulama kullanmak, veriyi otomatik olarak yurt dışındaki sunuculara göndermek demektir."
Kamu personeli, amirinin talimatı veya işin gereği diyerek WhatsApp üzerinden bir vatandaşın kimlik fotokopisini veya kurum içi gizli bir belgeyi paylaştığında, aslında KVKK'nın 9. maddesini ihlal etmiş olma riskiyle karşı karşıya kalır. Çünkü vatandaşın bu aktarım için açık rızası alınmamıştır ve veri güvenli ülke statüsünde olmayan bir sunucuda barındırılmaktadır.
4. Bilgi ve İletişim Güvenliği Rehberi Ne Diyor?
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi, kamu kurumları için bağlayıcı hükümler içermektedir. Bu rehberde açıkça; kurumsal haberleşme amacıyla, sunucuları yurt içinde bulunan yerli ve milli uygulamaların tercih edilmesi gerektiği vurgulanmıştır.
Rehbere göre;
1. Kurumsal veriler, şahsi e-posta veya kaynağı belirsiz mesajlaşma uygulamaları üzerinden paylaşılmamalıdır.
2. Gizlilik dereceli verilerin (Hizmete Özel, Gizli vb.) anlık mesajlaşma uygulamaları üzerinden iletilmesi kesinlikle yasaktır.
3. Kurumlar, kendi iç iletişimleri için güvenli, denetlenebilir ve sunucuları Türkiye'de bulunan alternatifler geliştirmeli veya temin etmelidir.
5. WhatsApp, Telegram ve Benzeri Uygulamaların Alternatifleri
KVKK'nın uyarısı bir yasaklamadan ziyade, verinin korunmasına yönelik bir tedbir çağrısıdır. Peki, kamu kurumları iletişim kopukluğu yaşamadan nasıl haberleşecek? Türkiye, son yıllarda yerli iletişim teknolojileri konusunda önemli adımlar atmıştır.
Öne Çıkan Yerli Çözümler ve Özellikleri:
- BiP: Sunucuları Türkiye'de bulunan, operatör bağımsız kullanılabilen ve kamu kurumları için özelleştirilmiş kapalı devre iletişim imkanı sunan bir platformdur.
- Dedi: Açık kaynak kodlu olması ve şeffaflığı ile bilinen, veri güvenliğine odaklanan yerli bir girişimdir.
- Ulak Haberleşme Çözümleri: Özellikle kritik altyapılarda ve kamu güvenliğinde kullanılan, uçtan uca şifreli ve yerli ağ altyapısı üzerinde çalışan sistemlerdir.
- Kurumsal E-Posta ve EBYS: Anlık mesajlaşma yerine, kayıt altına alınabilir ve denetlenebilir olan Kurumsal E-Posta ve Elektronik Belge Yönetim Sistemleri (EBYS) asıl iletişim kanalı olmalıdır.
6. Kamu Çalışanları ve Kurumlar İçin Uygulama Rehberi
Bu duyuru ışığında, kamu kurumlarının IT (Bilgi İşlem) departmanlarına ve yöneticilerine büyük görev düşmektedir. Bir geçiş planı hazırlanmalı ve çalışanlarda farkındalık oluşturulmalıdır.
Adım 1: Mevcut Durum Analizi
Kurum içinde hangi birimlerin WhatsApp grupları kurduğu, bu gruplarda ne tür verilerin (vatandaş T.C. numaraları, sağlık verileri, personel sicil bilgileri vb.) paylaşıldığı tespit edilmelidir. Bu "Gölge BT" (Shadow IT) kullanımının haritasını çıkarmak ilk adımdır.
Adım 2: Alternatiflerin Entegre Edilmesi
Kurum, personeline güvenli bir alternatif sunmadan yasaklama yoluna gitmemelidir. Kurumsal bir mesajlaşma uygulaması veya mobil uyumlu güvenli bir intranet modülü devreye alınmalıdır.
Adım 3: Eğitim ve Farkındalık
Çalışanlara; "Sadece bir fotoğraf attım" demenin hukuki sonuçları anlatılmalıdır. TCK (Türk Ceza Kanunu) kapsamında "Verileri hukuka aykırı olarak verme veya ele geçirme" suçunun unsurları hatırlatılmalıdır. KVKK uyum eğitimleri düzenli hale getirilmelidir.
7. Veri Egemenliği ve Ulusal Güvenlik
KVKK’nın kamu kurumlarında yurt dışı menşeli haberleşme uygulamalarına ilişkin duyurusu, basit bir teknoloji tercihi uyarısı değil, bir dijital egemenlik beyanıdır. Veri, 21. yüzyılın petrolü olarak nitelendirilmekte ve bu kaynağın güvenliği ulusal güvenlikle eşdeğer tutulmaktadır.
Kamu hizmeti görenler, sadece işlerini hızlı yapmakla değil, aynı zamanda vatandaşın devlete emanet ettiği bilgileri korumakla da yükümlüdür. Bu nedenle, anlık mesajlaşma konforu, veri güvenliği ilkelerine feda edilmemelidir. Yerli teknolojilerin desteklenmesi ve kullanılması, sadece yasal bir zorunluluk değil, aynı zamanda siber vatan savunmasının bir parçasıdır.
Kurumların hızla bu uyarıyı dikkate alarak iletişim stratejilerini güncellemeleri, hem olası veri ihlali cezalarının önüne geçecek hem de devlet ciddiyetine yakışır bir bilgi güvenliği standardı oluşturacaktır.
Sıkça Sorulan Sorular
Kamu personelinin WhatsApp kullanması yasak mı?
KVKK'nın duyurusu doğrudan bir yasaklama içermemekle birlikte, kurumsal veri ve kişisel verilerin bu uygulamalar üzerinden paylaşılmasının Kanun'a aykırı riskler taşıdığını belirtmektedir. Kurum içi gizli bilgilerin paylaşımı yasaktır.
Telegram veya Signal daha mı güvenli?
Her ne kadar şifreleme teknolojileri farklı olsa da, sunucuları yurt dışında olan tüm uygulamalar (Telegram, Signal vb.) "Verinin yurt dışına aktarımı" kapsamında değerlendirildiği için KVKK ve Bilgi Güvenliği Rehberi açısından riskli kabul edilmektedir.
Yerli mesajlaşma uygulamaları hangileridir?
BiP, Dedi, Yaay ve kurumların kendi iç bünyelerinde geliştirdikleri özel haberleşme yazılımları, verilerin Türkiye sınırları içinde kalmasını sağlayan yerli alternatiflerdir.
Kişisel verileri WhatsApp'tan göndermenin cezası nedir?
Kişisel verilerin hukuka aykırı paylaşılması durumunda KVKK idari para cezaları uygulayabilir. Ayrıca kamu personeli hakkında disiplin soruşturması açılabilir ve TCK kapsamında adli süreç başlatılabilir.
