Sürekli şirketlerden “Biz verileri yurtdışına aktarmıyoruz ki. Biz veri aktarımı yapmıyoruz ki. v.b” cümleler duyuyoruz. Ardından sorduğumuz iki soruya aldığımız cevap aslında durumun gerçek bağlamından başka veri aktarımının sadece filmlerde olduğu gibi verileri yurt dışına transfer etmek gibi algılandığını, veri toplamak derken bu verilerin tıpkı bilgi sorarak toplamak olarak algılandığını anladık. Bu nokta sorulan iki soruya verilecek cevap sizin de veri aktarımı yapıp yapmadığınız ve yurt dışına veri aktarımı yapıp yapmadığınız noktasında belirleyici olacaktır.
- İşyerinizde MAIL kullanıyor musunuz?
- GMAIL, yahoo, yandex vb. mi kullanıyorsunuz? Mailinizin server’ları nerede?
İşte bu iki soruya verdiğiniz cevap sizin de yurtdışına veri aktarımı yapıp yapmadığınıza yanıt oluyor. Ancak yukarıda da değindiğim üzere şirketler tarafından bu konu transfer olarak algılandığından veri aktarımı yapılmadığı çıkarımı yapılabiliyor. Bu nedenle de Kişisel Verileri Koruma Kurumu tarafından GMAIL kullanımı söz konusu ise verilerin yurt dışına aktarımına ilişkin yolun izlenmesi gerektiği belirtiliyor.
Bu kapsamda kuruma Google’dan mail servisi alınıp alınamayacağı noktasında görüş almak adına yapılan başvuruya kurum 31 Mayıs 2019 tarihli kararı ile aşağıdaki şekilde yanıt vermiştir.
“Karar Tarihi : 31/05/2019
Karar No : 2019/157
Konu Özeti : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında
Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,
-Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
-”Server”arı yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine
Karar verilmiştir.”
Google’a ait e-posta altyapısı kullanıldığı takdirde gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde saklanması, depolanması söz konusu olacağından bu durumun yurt dışına veri aktarımı olarak kabul edileceği ve seri sorumlularının Gmail kullanımı tercihleri varsa bu durumu 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesi gerektiği, ek olarak Server’ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesi gerektiği vurgulanmıştır.
İlgili durum ile ilgili kurum hali hazırda veri sorumlusu şirketlere 3 seçenek sunarak ilgili mail hizmetini alma şansı tanıyor ancak bu da tam anlamıyla çözüm olarak değerlendirilebilir değil. Bu 3 seçenek ise şu şekilde;
- Madde 9/1 – Açık Rıza
Maddeye göre şirket ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir. Yani şirket personeli mail trafiği esnasında karşı taraftan(ilgili kişi) Açık Rıza alırsa, şirket bu mail trafiğini ve içindeki kişisel verileri yurt dışında serverları olan e-posta hizmet sağlayıcıları ile çalışabilir. Ancak bu durum uygulamada çok mümkün olmuyor. Zira açık rızanın alınması noktasında açık rızanın geçerliliği için tüm unsurlarının eksiksiz bir şekilde gerçekleştirilmesi gerekiyor ancak günümüz teknolojisinde mail yoluyla bunun gerçekleşmesi çok mümkün değil.
- Güvenli Ülke – Madde 9/2-a
Bu maddeye göre kullanılan e-posta sunucusunun Kurul’un ilan ettiği güvenli ülkelerden birinde bulunması halinde ilgili kişiden e-posta trafiği esnasında açık rıza almanıza gerek yok. Ancak Kurul hala daha güvenli ülke listesini açıklamadığından bu da şirketler açısından bir risktir.
Kaldı ki kurul aktarım için güvenli ülkeleri belirleyerek açıklasa dahi Google vb. hizmet kapsamı çok geniş olan firmalar kuruldukları veya şubeleri bulunan ülkeler dışında farklı ülkelerde depolama yapıyor olabilir. Bu noktada bu şirketlerin tamamının depolama yaptığı ülkelerin de bildirilmesi gerekecek ve ona göre bir değerlendirme yapılması gerekecektir. Zira firmanın serverları başka ülkelerde olabileceği gibi kurum bu ülkelerin bir kısmını güvenli ülke bir kısmını güvensiz ülke olarak görebilir. Bu noktada da sizin mailiniz herhangi birinde olabileceğinden ve sizin verilerinizin hangi serverda olduğunun tespiti güç olacağından (hatta belki mümkün olmayacağından) şirketler açısından bu durum bir risk olabilir.
- Taahhütname – Madde 9/2-b
Bu maddeye göre ‘’Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması ‘’ diyerek kişisel verilerin yurt dışına aktarımında bir seçenek daha sunulmuştur. Ancak kanaatimce bunun da uygulanabilmesi çok mümkün gözükmüyor. Zira yurt dışında mail hizmeti aldığınız bir firma neden böyle bir tahhütün altına girmeli ki? Ya da onun yeterli gördüğü Türkiye tarafından yeterli görülecek mi? Bu noktada bir firmanın da böyle bir taahhütname imzalaması mümkün gözükmemekte.
Bu nedenle bu konuda hukuki destek alınması ve en azından alınabilecek önlemlerin alınması şirketler için önem arz etmekte. Biz Verileri Yurtdışına Aktarmıyoruz Demeyin. İşyerinizde GMAIL Kullanıyor Olmanız Bile Kişisel Verilerin Yurtdışına Aktarılması Anlamına Geliyor.
Av.İlayda Döldöş