GMAİL ÜZERİNDEN KURUMSAL E-POSTA KULLANIMINI YURTDIŞINA VERİ AKTARIMI OLARAK KABUL EDİLMİŞTİR!(TEMMUZ 2019)

Gelişmekte olan teknoloji ile kişisel veri kavramı dünyada olduğu gibi ülkemizde de oldukça önemli bir yere sahip olmaya başlamıştır. Bu doğrultuda 07.04.2016 tarihinde yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanun’u (Kanun) ve takiben peş peşe yayınlanan ikincil mevzuatlar ile veri güvenliği ve uyum süreci ülkemizde ivme kazanmıştır.  

Türkiye’de kişisel verilerin korunması alanında çalışmalar ve denetimler yapmak üzere kurulmuş olan Kurul’un, son ve güncel kararlarından olan kurumsal e-posta hizmetlerine ilişkin 31.05.2019 tarihli, 2019/157 sayılı kararı oldukça dikkat çekicidir.  

Bilindiği üzere teknolojide yaşanan ve son yıllarda oldukça dikkat çeken gelişmelerin başında bulut bilişim hizmetlerinin kullanımı gelmektedir. Bulut bilişim hizmetleri kısaca; bilgisayarlar ve diğer cihazlar için, istendiği zaman kullanılabilen ve kullanıcılar arasında paylaşılan bilgisayar kaynakları sağlayan, internet tabanlı bilişim hizmetlerinin genel adı olarak tanımlanabilmektedir.  

Günümüzde bulut bilişim hizmetleri özel sektörde, hem iletişimsel hem de altyapısal sebeplerle yaygın olarak kullanmaktadır. Bunun nedeni bulut bilişim sistemlerinin kullanımının daha ekonomik ve daha güvenli olmasıdır. Ancak Kanun’un yürürlüğe girmesinden itibaren,  bulut hizmetlerinin çoğunlukla yurtdışı merkezli büyük şirketlerce verildiği göz önünde bulundurularak, bu sistemlerin kullanımının yurt dışına aktarım kapsamına girip giremeyeceği konusu tartışmalara sebep olmuştur. Kurul, 31.05.2019 tarih ve 2019/157 sayılı kararı ile;  

“Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine,”  

karar vererek aslında alınan bu bulut hizmetlerinin yurtdışına aktarım sayılacağını kabul etmiş ve bahsi geçen tartışmalara son noktayı koymuştur. Ayrıca Kurul;  

“Serverları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine,”  

karar vermiştir. Özellikle yabancı ortaklı kurumsal şirketler tarafından kullanılan yurtdışı merkezli serverlar için de Kanun’un 9. Maddesine uygunluk koşulunun öngörülmesi bazı soru işaretlerini ortadan kaldırmıştır.  

Kurul’un uygunluk şartı olarak değinmiş olduğu, 9. maddeye göre kişisel verinin yurt dışına aktarılabilmesi için öncelikle ilgili kişinin açık rızasının alınması gerekmektedir. Ancak açık rıza şartına istisna teşkil eden bir durum varsa hizmetin alınacağı yurtdışındaki şirkette yeterli korumanın bulunması veya bu şirketten verilerin güvenliğine ilişkin taahhüt alınması ile birlikte Kurul’dan bu yönde izin alınarak da aktarım gerçekleştirilebilecektir. Ancak yurtdışına veri aktarımına ilişkin güvenli olarak kabul edilen ülkelere ait liste halen Kurul tarafından yayınlanmamıştır. E-posta veya server hizmetinin alınacağı şirketten taahhüt almak ve bu taahhüt doğrultusunda Kurul’dan çıkacak izni beklemek ise gerek zamansal gerek uygulama pratiği açısından tercih edilebilir durmamaktadır.  

Bu karar sonucunda bu gibi hizmetlerden faydalanmak isteyen kişi veya kurumların, ya madde 9’a uygunluk için gerekli önlemleri almaları ya da verilerin yurtdışına aktarım kapsamında değerlendirilmemesi adına bulut bilişim hizmeti veren yerli firmaları tercih etmeleri daha uygun olacaktır.