Kamu görevlisi bir memurun, bir öğretmenin, bir şube müdürünün ya da bir hastane yöneticisinin resmi bir belgeyi “kolaylık olsun” diye WhatsApp grubuna atması… Günlük hayatın sıradan bir refleksi gibi görünüyor değil mi?

Peki ya o belge bir vatandaşın kimlik bilgilerini, sağlık verisini, disiplin dosyasını ya da ihale sürecine ilişkin hassas bilgileri içeriyorsa?

İşte tam bu noktada, Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Kamu Kurumlarında Yurt Dışı Menşeli Haberleşme Uygulamaları Kullanımına İlişkin Kamuoyu Duyurusu” aslında basit bir teknik hatırlatma değil dijital çağda veri korunumuna ilişkin güçlü bir uyarıdır.

Öncelikle meseleyi net koyalım, burada hedef bir uygulama (whatsapp) değil. Ancak şu gerçeği görmezden gelemeyiz; WhatsApp ve benzeri yurt dışı menşeli uygulamalar üzerinden yapılan her veri paylaşımı, teknik olarak verinin Türkiye dışındaki sunuculara aktarılması anlamına geliyor.

Kamu personelinin attığı bir mesaj, bir öğrencinin disiplin bilgisi, bir hastanın raporu, bir personelin sicil kaydı, bir vatandaşın kimlik bilgisi olabilir. Ve bu veriler “mesaj attım, gitti” denildiği anda yalnızca iki kişi arasında kalmaz, uluslararası veri trafiğinin parçası haline gelir.

6698 sayılı Kanun çerçevesinde kişisel verinin işlenmesi, belirli bir hukuki sebebe dayanmalı, açık ve meşru amaçla yapılmalı, veri minimizasyonu ilkesine uygun olmalı, güvenlik tedbirleriyle korunmalıdır.

Kamu personeli “amir talimat verdi” diyerek bir uygulamaya dâhil edildiğinde bile hukuka aykırı veri işleme riski ortadan kalkmaz. KVKK duyurusundaki disiplin vurgusu bu nedenle tesadüf değildir. Çünkü kamu görevlisi açısından mesele yalnızca KVKK ihlali değil, görev suçu, idari sorumluluk, hatta bazı durumlarda ceza sorumluluğu boyutuna kadar uzanabilir.

Avrupa’da da benzer tartışmalar yaşandı. Özellikle kamu kurumlarının ticari mesajlaşma uygulamalarını resmi yazışma için kullanması ciddi eleştirilere konu oldu. Avrupa Birliği Veri Koruma Otoritesi European Data Protection Board ve ilgili mevzuatı GDPR çerçevesinde sınır ötesi veri aktarımı sıkı şartlara bağlanmıştır. Çünkü temel varsayım verinin, sahibinin kontrolünden çıktığında hak ihlali riski doğuracağı yönündedir.

Bugün Avrupa’da kamu kurumlarının ticari mesajlaşma uygulamalarını resmi yazışma için kullanması ciddi tartışmalara yol açıyor. Sebep devletçilik değil hesap verebilirlik ve bireyin hak güvencesi.

Benzer durum ile ilgili dünya örnekliklerine baktığımızda European Data Protection Board, sınır ötesi veri aktarımı konusunda açık bir ilke daha ortaya koyarak devlet verisinin, sıradan ticari veri gibi muamele göremeyeceğini söylüyor. Hindistan, kamu personeli için devlet destekli yerli mesajlaşma platformu geliştirdi. Almanya’da bazı kamu kurumları, ticari uygulamaların kullanımını sınırlandırdı. ABD’de resmi yazışmaların özel mesajlaşma uygulamaları üzerinden yürütülmesi, arşiv ve şeffaflık krizlerine yol açtı.

Bu duyuru, ani bir refleks değil. Daha önce Cumhurbaşkanlığı genelgeleriyle, kamu kurumlarında gizlilik dereceli veya kritik verilerin yerli uygulamalar dışında paylaşılmaması gerektiği açıkça ifade edilmişti. Ayrıca, ulusal siber güvenlik stratejileri, KamuNET ve benzeri kapalı devre sistemler, e devlet altyapısının merkezileştirilmesi, kamu yazışma sistemlerinin standardizasyonu hep aynı mantığın ürünüdür.

Bu bütüncül yaklaşım, devletin, dijital güvenliği hem teknik bir altyapı meselesi ve hem de kamu hizmetinin sürekliliğini, vatandaşın mahremiyetini ve kurumsal güvenilirliği koruyan stratejik bir güvenlik alanı olarak gördüğünü ve veri korumayı bu çerçevede temel bir kamu politikası önceliği haline getirdiğini göstermektedir.

Bu konuda en büyük risk ise bu pratiğin sıradanlaşmasıdır. Belki de çoktan sıradanlaştı.

“Zaten herkes kullanıyor.”
“Bir şey olmaz.”
“Bu kadar abartmaya gerek yok.”

Veri ihlalleri tam da bu düşünme biçimiyle başlar. Bugün bir excel dosyası, yarın bir sağlık raporu, ertesi gün bir ihale bilgisi. Devletin ciddiyeti sadece kriz çıktıktan sonra uyguladığı politikalarla değil kriz çıkmadan önce alınan tedbirlerle de ölçülür.

Kişisel veri dediğimiz şey sıradan bir bilgi değildir. Sağlık bilgisi, mahremiyet alanıdır. Disiplin kaydı, kişinin itibarıyla ilgilidir. Kimlik bilgisi, güvenlik meselesidir. Adli süreç bilgisi, masumiyet karinesiyle bağlantılıdır.

Veri koruma hukuku, ister 6698 sayılı Kanun, ister Avrupa’daki düzenlemeler olsun, aynı temel prensibe dayanır: kişisel veri, bireyin onurunun ve özgürlük alanının uzantısıdır. Bu nedenle veri güvenliği sadece “teknik tedbir” değil temel hak ve özgürlüklerin korunmasıdır.

Vatandaş Neden Umursamalı?

Çünkü mesele sadece memurun disiplini değil. Çocuğunuzun okul bilgileri, sağlık kayıtlarınız, vergi bilgileriniz, adli süreçleriniz kamu personelinin “hızlı olsun” refleksiyle yurt dışına taşınabilir.

Kişisel Verileri Koruma Kurumu bakış açısı ise şudur: kişisel veri, sahibinin onuru ve temel hakkıdır. Bu yüzden bu hak, mesajlaşma kolaylığına feda edilemez. Kamu kurumları, toplumun en geniş veri havuzuna sahiptir. Öğrenciler, hastalar, engelliler, sosyal yardım alanlar, vergi mükellefleri, yargı süreçlerine taraf olanlar…Bu kişilerin çoğu, verilerinin nerede işlendiğini bilmez. Bilmeleri de beklenmez. Bu nedenle yükümlülük, veriyi işleyendedir.

KVKK’nın son duyurusu aslında şunu söylüyor: Devlet veri güvenliğini ciddiye almak zorundadır. Kamu görevlisi alışkanlıklarını hukuka göre şekillendirmek zorundadır. Dijital konfor, hukuki güvenliğin önüne geçemez. Ve her kamu görevlisi, her yönetici, her kurum bunu bilerek hareket etmek zorundadır. Çünkü korunması gereken şey uygulama değil insandır.

Bu arada duyuruya https://www.kvkk.gov.tr/Icerik/8607/kamu-kurumlarinda-yurt-disi-menseli-haberlesme-uygulamalari-kullanimina-iliskin-kamuoyu-duyurusu adresinden ulaşabilirsiniz.

Kalın selametle.