E-mail ve Yurt Dışına Veri Aktarımı

Kişisel Verileri Koruma Kurulu tarafından 31 Mayıs 2019 tarihinde yayınlanan Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin karar ile şirketlerin e-mail konusunda nasıl bir pozisyon alması gerekiyor, e-mail ve bulut sistemleri için nasıl adımlar atması gerekiyor onları inceleyeceğiz.

Öncelikle 31 Mayıs 2019 ‘ da KVK Kurulu’nun yayınladığı kararı inceleyerek başlayalım. Yayınlanan karar bir şirketin görüş talebi doğrultusunda ortaya çıkmıştır. Burada şirket, e-posta servisini Gmail ‘den almanın KVKK’ya uygun olup olmadığını sormuştur.

Kurul ise;

1-Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine,

2-Server’ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine’’

karar vermiştir.

KVKK ‘nın 9. Maddesi ise kişisel verilerin yurt dışına aktarım ile ilgili olarak şirketlere 3 seçenek sunmaktadır.

Madde 9/1 – Açık Rıza

İşbu maddeye göre şirket ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir.

Yani şirket personeli mail trafiği esnasında karşı taraftan(ilgili kişi) Açık Rıza alırsa, şirket bu mail trafiğini ve içindeki kişisel verileri yurt dışında serverları olan e-posta hizmet sağlayıcıları ile çalışabilir.

Ancak mail trafiği esnasında mail gönderen kişinin KVKK anlamında açık rızanın alınması, özelliklede bütün unsurları ile eksiksiz bir şekilde bunun gerçekleştirilmesi imkânsıza yakındır.

Güvenli Ülke - Madde 9/2-a

Bu maddeye göre kullanılan e-posta sunucusunun Kurul’un ilan ettiği güvenli ülkelerden birinde bulunması halinde ilgili kişiden e-posta trafiği esnasında açık rıza almanıza gerek yok. Ancak Kurul bugüne kadar güvenli ülke listesini açıklamamıştır.

Kurul kişisel veri anlamında güvenli ülkeleri ilan etse bile Google vb. küresel firmalar bulut sunucularındaki verileri dünyanın bambaşka ülkelerinde sakladığından işbu madde çözüm yolu gözükmemektedir.

Taahhütname - Madde 9/2-b

Bu maddeye göre ‘’Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması ‘’ diyerek kişisel verilerin yurt dışına aktarımında bir seçenek daha sunulmuştur.

Taahhütname: Yurt dışında kişisel veri aktarılan veri sorumlusu veya veri işleyen firmanın yeterli korumanın bulunduğunu yazılı olarak taahhüt etmesi. Burada da yeterli koruma için şartlara bakılacak ve karşılıklılık sorunu karşımıza çıkacaktır.

Gördüğünüz gibi yurt dışına veri aktarımı konusunda sunulan seçeneklerin hiçbiri tam olarak şirketlerin işine yaramamaktadır. Tam bu noktada şirketlerin işin içinden çıkabilmesi için tek seçenek yerli sunucuyu tercih etmeleridir. Ancak bu noktada da şuna dikkat etmek lazım, yerli sunucu tercih edilse bile yine veriler yurt dışına çıkabiliyor. Yani kişisel verilerin tamamen yurt içinde bulunduğu sistemlerde tutulması gerekiyor.