KVKK uyardı: WhatsApp'tan emir ve talimat verilemez

Kişisel Verileri Koruma Kurumu, idari iş ve işlemlerin yürütülmesinde WhatsApp kullanılmasının ve kamu personelinin WhatsApp gruplarına mecbur bırakılmasının yanlış olduğuna dikkat çekti. Kurum, söz konusu uygulama üzerinden emir-talimat verilmemesi, resmi belge ve evrak paylaşımı yapılmaması gerektiğini vurguladı.

Giriş: 01.02.2026 09:30
Güncelleme: 01.02.2026 10:14

KVKK, 29 Ocak tarihinde yayımladığı kamuoyu duyurusunda, çok sayıda kamu kurumunda idari süreçlerin WhatsApp üzerinden yürütüldüğüne ilişkin ihbar ve şikayetler aldığını açıkladı. Duyuruda; kamu personelinin WhatsApp gruplarına zorunlu olarak dahil edildiği, bu gruplar üzerinden emir ve talimat verildiği ve hatta resmi evrak paylaşıldığı tespitlerine yer verildi.

Kurum, WhatsApp gibi yurt dışı menşeli haberleşme uygulamalarının Türkiye'de veri merkezi bulunmadığını hatırlatarak, bu tür platformlar üzerinden gizlilik dereceli veya kritik öneme sahip verilerin paylaşılmasının ciddi güvenlik riskleri taşıdığına dikkat çekti. Özellikle bakanlar ve üst bürokrasi tarafından emir ve talimatların bu kanallar aracılığıyla iletilmesinin kamu güvenliği açısından sakıncalı olduğu vurgulandı.

KVKK açıklamasında, 6 Temmuz 2019 tarihli ve 30823 sayılı Resmi Gazete'de yayımlanan 2019/12 sayılı Cumhurbaşkanlığı Genelgesine atıf yapıldı. Genelgede;

Yerli ve yetkili uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı yapılamayacağı,

Sosyal medya ve haberleşme uygulamalarında yerli çözümlerin tercih edilmesi gerektiği hükümlerinin açıkça yer aldığı anımsatıldı.

"Son dönemde Kurumumuza intikal ettirilen muhtelif ihbar ve şikâyetlerde; çeşitli kamu kurumları emrinde görev yapmakta olan kamu personelinin, idarî iş ve işlemlerin yürütülmesi noktasında WhatsApp uygulamasını kullanmaya ve çeşitli WhatsApp gruplarına üye olmaya mecbur bırakıldıkları, söz konusu uygulama üzerinden emir ve talimat verildiği ve resmî belge ile evrak paylaşımı yapıldığı hususları yer almıştır.

Bilindiği üzere, kamu hizmetlerinin; düzenli, süratli, etkin, verimli ve ekonomik bir şekilde sürdürülmesi esastır. Ancak kamu hizmeti sunumu ve idarî süreçlerin yönetilmesi esnasında yürürlükteki kanun, yönetmelik ve diğer sair mevzuata titizlikle uyulması da büyük önem arz etmekle birlikte, aynı dikkat ve özenin kişisel verilerin korunması ve veri güvenliği hususlarında da gösterilmesi gerekmektedir. Nitekim bu konuda 06.07.2019 tarih ve 30823 sayılı Resmî Gazete’de “Bilgi ve İletişim Güvenliği Tedbirleri” konulu, 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmış olup mezkûr genelgenin dördüncü maddesinde “Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.” hükmüne, altıncı maddesinde ise “Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.” hükmüne yer verildiği görülmektedir. Bu suretle WhatsApp gibi ülkemizde yaygın bir şekilde kullanılmakta olan yurt dışı menşeli haberleşme uygulamalarının yurt içinde herhangi bir veri merkezlerinin bulunmadığı dikkate alındığında, bu tür uygulamalar üzerinden gizlilik dereceli yahut kritik önemi hâiz olabilecek veri ihtiva eden resmî evrak paylaşılmaması gerektiği hususu bilhassa belirtilmiştir.

Ayrıca kamu kurumlarının, WhatsApp gibi yurt dışı menşeli haberleşme uygulamaları üzerinden, gerçek kişilere (ilgili kişi) ilişkin “kişisel veri” içeren herhangi bir bilgi ya da belge paylaşımının, “kişisel veri işleme faaliyeti” olarak değerlendirilebileceği ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) genel nitelikli kişisel verilerin işlenmesi bakımından 5 inci, özel nitelikli kişisel verilerin işlenmesi bakımından ise 6 ncı maddesinde yer alan kişisel veri işleme şartlarını taşımayan veri işleme faaliyetlerinin, Kişisel Verileri Koruma Kurulu tarafından yürütülecek şikâyet üzerine veya resen incelemenin konusu hâline getirilerek, bu hususta sorumluluğu tespit edilen kamu personeline, Kanun’un 18 inci maddesinin (4) numaralı fıkrası uyarınca, disiplin hükümlerine göre işlem yapılması yönünde idarî yaptırım uygulanabileceği hususu göz ardı edilmemelidir.

Bu minvalde, 6698 sayılı Kanun kapsamında, kişisel verisi işlenen ilgili kişilerin GSM hattı numaraları kendilerinin kişisel verisi mahiyetinde olup kamu kurumlarınca, emirlerinde görev yapmakta olan kamu personelinin cep telefonu numaraları kullanılarak yürütülen kişisel verilerin işlenmesi faaliyetlerinin de Kanun’un 5 inci maddesinde gösterilen kişisel veri işleme şartlarına uygun şekilde yürütülmesi gerektiği hususunda azami dikkat ve özenin gösterilmesi lüzumludur.

Kamuoyuna saygıyla duyurulur."