top of page
Ara
Yazarın fotoğrafıUnidata KVKK

Kişisel Verilerin E-mail Üzerinden Yurtdışına Aktarılması

Daha önce bahsettiğimiz gibi kişisel verilerin yurtdışına aktarılması Kişisel Verilerin Korunması Kanunu ‘ nun 9. maddesinde belirtilmiştir. Kişisel verilerin yurtdışına aktarılması için birçok yöntem vardır. Bu yöntemlerden bir tanesi de e-mail kullanarak kişisel verileri yurtdışına aktarmaktır.


Özellikle tüzel kişi veri sorumlusu olan şirketler gün içinde farkında olmadan onlarca kişisel veriyi mail yolu ile yurtdışına aktarmaktadır. Yurtdışına veri aktarımının kapsamı şirketin sadece Türkiye sınırları dışında bir şirkete veya gerçek kişiye mail atması değildir. Örneğin, Türkiye sınırları içerisinde iki veri sorumlusu şirketin Google firmasına ait g-mail hesabını kullanarak birbirlerine mail göndermesi ve alması halinde bu e-postalar dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmaktadır. Bu durum Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin yurtdışına aktarılması anlamına gelmektedir.


E-mail ile yurtdışına kişisel veri aktarımı yöntemi ile ilgili Kişisel Verileri Koruma Kurulu bir karar yayınlamıştır. Öncelikle 31 Mayıs 2019 ‘ da KVK Kurulu’nun yayınladığı kararı inceleyerek başlayalım. Yayınlanan karar bir şirketin görüş talebi doğrultusunda ortaya çıkmıştır. Burada şirket, e-posta servisini Gmail ‘den almanın KVKK’ ya uygun olup olmadığını sormuştur.



Karar Tarihi : 31/05/2019

Karar No : 2019/157

Konu Özeti : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …... uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

-Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;

-''Server''arı yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

Karar verilmiştir.




Kişisel Verileri Koruma Kurulu tarafından 31 Mayıs 2019 tarihinde yayınlanan Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin karar ile şirketlerin e-mail konusunda nasıl bir pozisyon alması gerekiyor, e-mail ve bulut sistemleri için nasıl adımlar atması gerekiyor onları inceleyeceğiz.



Kurul ise;


1-Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine,


2-Server’ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine’’

karar vermiştir.

KVKK ‘ nın 9. Maddesi ise kişisel verilerin yurt dışına aktarım ile ilgili olarak şirketlere 3 seçenek sunmaktadır.


A-Madde 9/1 – Açık Rıza


İşbu maddeye göre şirket ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir.

Yani şirket personeli mail trafiği esnasında karşı taraftan(ilgili kişi) Açık Rıza alırsa, şirket bu mail trafiğini ve içindeki kişisel verileri yurt dışında serverları olan e-posta hizmet sağlayıcıları ile çalışabilir.


Ancak mail trafiği esnasında mail gönderen kişinin KVKK anlamında açık rızanın alınması, özelliklede bütün unsurları ile eksiksiz bir şekilde bunun gerçekleştirilmesi şu an ki mail sistemi ile çözüm yolu olarak gözükmemektedir.


B-Güvenli Ülke - Madde 9/2-a


Bu maddeye göre kullanılan e-posta sunucusunun Kurul’un ilan ettiği güvenli ülkelerden birinde bulunması halinde ilgili kişiden e-posta trafiği esnasında açık rıza almanıza gerek yok. Ancak Kurul bugüne kadar güvenli ülke listesini açıklamamıştır.


Kurul kişisel veri anlamında güvenli ülkeleri ilan etse bile Google vb. hizmet kapsamı çok geniş olan firmalar, bulut sunucularındaki verileri dünyanın bambaşka ülkelerinde sakladığından işbu madde çözüm yolu olarak gözükmemektedir. Örneğin, Google ve Yandex güvenli ülkelere ait hizmet sağlayıcısı olsalar bile Google ‘ ın Fransa’ da, Mısır’ da, Endonezya ‘ da ki veri merkezlerinde depolama yapıyor olabilir. Aynı şekilde Yandex mail birçok farklı ülkede veri depolaması yapıyor olabilir.




C-Taahhütname - Madde 9/2-b


Bu maddeye göre ‘’Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması ‘’ diyerek kişisel verilerin yurt dışına aktarımında bir seçenek daha sunulmuştur.


Taahhütname: Yurt dışında kişisel veri aktarılan veri sorumlusu veya veri işleyen firmanın yeterli korumanın bulunduğunu yazılı olarak taahhüt etmesi anlamına gelmektedir. Ancak günümüzde veri sorumlu olan şirketler ticari faaliyette bulunduğu veri sorumlusu veya veri işleyenlerle bile KVKK anlamında gizlilik sözleşmesini imzalayamamaktadır. Dolayısıyla Türkiye sınırları içerisinde orta ölçekli bir şirketin Google ile veri güvenliği ve yeterli koruma çerçevesinde taahhütname imzalaması gerçekçi değildir.


Gördüğünüz gibi yurt dışına veri aktarımı konusunda sunulan seçeneklerin hiçbiri tam olarak şirketlerin işine yaramamaktadır. Tam bu noktada şirketlerin işin içinden çıkabilmesi için tek seçenek yerli sunucuyu tercih etmeleridir. Ancak bu noktada da şuna dikkat etmek lazım, yerli sunucu tercih edilse bile yine veriler yurt dışına çıkabiliyor. Yani kişisel verilerin tamamen yurt içinde bulunduğu sistemlerde tutulması gerekiyor.


Tüm bunlar dışında ise mail gönderirken ve alırken mailin imza kısmına eklenecek belirli KVKK metinleri ile bir nebzede olsa kişisel verilerin yurtdışına aktarılmasına önlem alınabilir.


670 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

Comments


bottom of page