Türkiye'deki SMMM ve YMM ofislerinin büyük bölümünde günlük rutin aynı şekilde işliyor: beyanname hazırlandı, PDF'e dönüştürüldü, mükelleflerin WhatsApp numaralarına gönderildi. Pratik, hızlı ve ücretsiz. Ancak bu alışkanlığın arkasında, çoğu zaman fark edilmeyen hukuki ve teknik riskler birikmiş durumda.
**KVKK'ya Göre WhatsApp Neden Sorunlu?**
6698 sayılı Kişisel Verilerin Korunması Kanunu, VKN, TCKN, mali durum, gelir bilgisi ve mesleki faaliyete ilişkin verileri kişisel veri olarak tanımlıyor. Bir mükellefe ait KDV beyannamesi veya gelir vergisi tahakkuk fişi, bu tanım kapsamında net biçimde kişisel veri niteliği taşıyor.
WhatsApp'ın altyapısı ise Avrupa Birliği'nde Meta Platforms Ireland Limited, dünya genelinde ise Meta Platforms Inc. tarafından işletiliyor. Mesajlar Meta'nın sunucularından geçiyor; bu da söz konusu verilerin AB ve ABD veri merkezlerinde barındırıldığı anlamına geliyor. KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılabilmesi için ya ilgili kişinin açık rızasını ya da ülkenin yeterli koruma sağlaması koşulunu arıyor. Kişisel Verileri Koruma Kurumu'nun 2023 yılı itibarıyla Türkiye'nin "yeterli koruma" ülkeleri listesinde ABD ve AB'nin otomatik olarak yer almadığını göz önüne alırsak, mükelleflerin açık rızası olmaksızın gerçekleştirilen her WhatsApp paylaşımı potansiyel bir ihlal oluşturuyor.
**Uygulamada Karşılaşılan 5 Risk**
Birinci risk veri sızıntısı. WhatsApp'ta yanlış numaraya belge göndermek, grup mesajlaşmasında ilgisiz kişilere dosya iletmek ya da ikinci el satılan bir telefondaki konuşmaların üçüncü kişilere açılması, tümü KVKK anlamında veri ihlali sayılıyor. 2022 yılından bu yana Kurul'un açıkladığı yaptırım kararlarına bakıldığında, ihlalin boyutuna göre 50.000 TRY ile 1.000.000 TRY arasında idari para cezası kesildiği görülüyor.
İkinci risk belge takibinin imkansızlaşması. Mükellefin belgeyi açıp açmadığını, okuduğunu teyit edip etmediğini WhatsApp üzerinden takip etmek mümkün değil. Çift mavi tik bir belgenin okunduğunu göstermiyor; sadece mesajın görüntülendiğini, belgenin indirilip indirilmediğini ya da içeriğinin kavranıp kavranmadığını değil. Olası bir ihtilafta "gönderdiğimi bildirdim" savunması hukuken tutunmuyor.
Üçüncü risk arşiv kontrolünün kaybolması. Bir mükelleflere ait belgeler onlarca farklı WhatsApp konuşmasına dağılmış durumda. Hangi mükellefe hangi dönem beyannamesinin gönderildiğini sistematik biçimde takip etmek pratik olarak mümkün olmuyor. Personel değişikliklerinde ofis bu bilgiyi bir anda kaybediyor.
Dördüncü risk personel ayrılığı. Personelin kişisel WhatsApp hesabını iş amacıyla kullananmesi durumunda, o personel işten ayrıldığında tüm konuşma geçmişi ve belgeler ofisin erişiminden çıkıyor. Gizlilik sözleşmesi olsa dahi teknik olarak o verilerin geri alınması mümkün değil.
Beşinci risk kanıt yetersizliği. Vergi incelemesi veya mükellef şikayeti durumunda "belgeyi zamanında gönderdim" iddiasını ispat eden güvenilir bir kayıt WhatsApp üzerinden elde edilemiyor. Meta mesaj loglarını yasal talep olmaksızın resmi makamlarla paylaşmıyor; bu da ofisin kendi lehine delil üretemeyeceği anlamına geliyor.
**Güvenli Bir Sistemde Olması Gerekenler**
Yasal uyumluluk açısından ideal bir belge paylaşım altyapısı birkaç temel özelliği barındırmalı. İlk olarak veriler yurt içinde ya da KVKK uyumlu sunucularda barındırılmalı; aktarım şifreli kanallar üzerinden gerçekleşmeli. İkinci olarak her belgenin kime, ne zaman, hangi cihazdan görüntülendiği sistem tarafından kayıt altına alınmalı. Üçüncüsü mükellef erişimi kimlik doğrulama gerektirmeli; belgeler herkese açık bağlantılarla paylaşılmamalı. Son olarak arşiv ofisin kontrolünde kalmalı; personel hesaplarına bağlı olmamalı.
**AkıllıBeyan Bu Riski Nasıl Ortadan Kaldırıyor?**
AkıllıBeyan, beyan ve belge paylaşımını WhatsApp karmaşasından tamamen ayırıyor. Müşavir belgeyi web panelinden yüklüyor; sistem mükellefin telefonuna anlık push bildirimi gönderiyor. Mükellef kendi uygulamasından belgeyi açtığı an "okundu" bilgisi otomatik olarak müşavirin paneline yansıyor. Tüm erişim kayıtları zaman damgalı biçimde saklanıyor.
Veriler Supabase altyapısı üzerinde barındırılıyor; aktarımlar TLS ile şifreleniyor. Belgeler imzalı ve süreli URL'ler aracılığıyla sunuluyor; bağlantı süresi dolduğunda kimse o dosyaya ulaşamıyor. Mükellef erişimi ise e-posta veya parola gerektirmiyor; müşaviri tarafından atanan 8 karakterlik aktivasyon kodu ile sağlanıyor.
WhatsApp'ı bırakmak büyük bir alışkanlık değişikliği gibi görünebilir. Ama KVKK ihlali riskiyle karşılaşmadan önce bu adımı atmak, hem mükelleflerin verilerini korumak hem de ofisin yasal güvencesini sağlamak açısından en akıllıca yol.