Kişisel Verileri Koruma Kurumu, 17 Temmuz Çarşamba günü yayınladığı bazı karar özetleri arasında yer alan e-posta kullanımı ile ilgili karar özeti bilişim sektörü ve hukukçular tarafından tartışılmaya devam ediyor.

Kuruma gelen ve e-posta sunucularının kullanımıyla ilgili görüş talep eden yazıda, kurumsal e-posta adreslerinin Google servisleri üzerinden kullanılıp kullanılmayacağı sorulması üzerine Kurumun açıkladığı karar özetinde, her ne kadar Google üzerinde durulmuş olsa da Microsoft, Amazon gibi yabancı diğer bulut hizmeti sağlayıcılarını da etkileyen maddelerin yanı sıra kurumsal e-posta hizmeti kullanan şirketleri de ilgilendiren maddeler var.

İşte KVK Kurumunun ilgili karar özeti hakkında bilmeniz gerekenler:

1. E-posta hizmet altyapısının yabancılardan alınması yurtdışına veri aktarımına girer

Karar özetinde ‘Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına’ ifadesi yer aldı.

Konuyla ilgili görüşlerine başvurduğumuz KP Veri Danışmanlığı kurucusu Mehmet Ali Köksal, KVK Kurumu’nun yabancı bulut hizmeti sağlayıcılarından e-posta sunucusu hizmeti alınmasını ‘Kişisel verilerin yurt dışına aktarılması’ olarak değerlendirmesinin isabetli olduğunu söyledi. Tecrübeli hukukçu, karar özetinde yer alan isabetli değerlendirmenin yanında hem KVK Kurumunun hem de bulut hizmeti sağlayan yabancı şirketlerin atması gereken adımlar olduğuna dikkat çekti.

2. Veri koruma kanunlarıyla verilerin korunduğu yerler belirli hale geldi

Bahse konu karar özetinde, e-posta hizmeti altyapısı kullanılan yabancı şirketin (bu karar özeti için Google) gönderilen ve alınan e-postaları dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutacağı için veri sorumlularının KVKK’nın ‘kişisel verilerin yurt dışına aktarılması’ başlıklı 9. Maddesine göre hareket etmesi gerektiğine dikkat çekildi.

Karar özetinde yer alan ‘dünyanın çeşitli yerlerinde’ ifadesini ‘konuyu basitleştirici’ bulan Mehmet Ali Köksal, veri koruma düzenlemeleriyle birlikte dünyanın önde gelen şirketlerinin artık verileri sakladığı merkezlerinin yerlerinin genel olarak belirli olduğuna dikkat çekerek “Bu nedenle henüz yeni olgunlaşmaya başlayan veri koruma kültürümüzde KVK Kurumu’nun daha özenli olması yol göstericilik açısından çok daha kritik diye düşünüyorum.” ifadelerini kullandı.

3. Kurum güvenli ülkeler listesi yayınlamalı

Kanunun ‘verilerin yurt dışına aktarımı’ ile ilgili 9. Maddesinde, kişisel verilerin yabancı ülkelere aktaraımı ile ilgili bazı şartlar aranmaktadır. Bu şartların başında ‘açık rıza’ bulunurken; verilerin aktarıldığı yabancı ülkede ‘yeterli korumanın bulunması’ veya ‘yabancı ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi’ ve ‘Kurum’un izninin bulunması’ şartlarıyla veri aktarımını mümkün kılıyor. Aynı maddede Kurum’un ‘yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir’ maddesi de bulunuyor. Diğer bir deyişle, Kurum’un e-posta hizmet altyapısı veren yabancı şirketler ile ilgili kararı vermeden önce veri koruma yöntemlerinin hangi ülkelerde yeterli olduğunu açıklaması gerekiyor.

‘Kurum bu konuda sessiz kalarak bulut servislerinden yararlanan birçok firmayı ciddi bir sorunla karşı karşıya bırakmıştır.’ diyen Mehmet Ali Köksal, sözlerine şöyle devam etti: “Kurul’un bu karar özetini yayınlamadan önce yapması gereken şey, güvenli ülkeler listesini yayınlamaktır ya da ne zamana kadar yayınlamayacağına ilişkin bilgiyi kamuoyu ile paylaşmaktır. Hukukta edimini ifa etmeyen kişinin karşı taraftan edimini ifa etmesini beklemesi çoğu durumda mümkün değildir. Burada şirketler 6698 sayılı Kanun’dan önce aldıkları konumu değiştirip, sonra Kurul tarafından yeniden karar alındığında yeniden değiştirebilecek durumda değillerdir. Kurul’un firmaları daha fazla sıkıntıya sokmadan ve sorunu daha fazla derinleştirmeden güvenli ülkeler listesini yayınlaması gerekmektedir.”

4. Kararın özetinin ardından şirketlerin ne yapması gerekiyor?

Karar özeti her ne kadar onu yayınlayan KVK Kurumu’na yönelik güvenli ülkeler listesi yayınlama beklentisi doğursa da, bulut hizmeti veren yabancı hizmet sağlayıcıların da yapması gerekenler bulunuyor. Köksal’a göre, bulut hizmet sağlayıcıların sağlayıcılarının Türkiye pazarında kalmaya devam etmeleri için öncelikle 6698 sy. KVKK’ya uygun şekilde bir sözleşme ve dolayısıyla kuralları sunabiliyor olmaları gerekir. Böylece hizmeti alan kurum ya da şirkete KVKK’ya uygun gizlilik hukukuna göre hizmet alma imkanı doğmuş olacak. Üstelik bu şirketler GDPR’a uyum sağladıkları için KVKK’ya da uyum sağlayabilecek standartlara sahipler. Fakat ilgili yabancı şirketler ilginç bir şekilde 2016 nisan ayından bu yana konuyla ilgili bir hazırlık yapmamışlardır.

KVK Kurumu ve bulut hizmeti sağlayıcıları arasında kalan şirketler ise karar özetinden sonra ne yapacakları konusunda uygun bir yol bulmak için çalışmaya başlamış durumdalar. Sektör, KVK kararının ekonomik krizde ayakta kalma savaşı veren firmalar için ciddi bir alt yapı değişikliği yapma zorunluluğu olarak dönmesinden korkuyor. Şirketlere önerisini sorduğumuz Mehmet Ali Köksal “Şirketlerimizin yapması gereken şey bir taraftan hizmet aldıkları servis sağlayıcıya başvuru yaparak Kurul’un talep ettiği taahhütnameyi imzalamasını talep etmek, diğer taraftan da Kurul’a başvurarak güvenli ülkeler listesini yayınlamasını talep etmek ve Kurum’un bu görevini ihlal etmeye devam etmesi durumunda konuyu basın veya diğer kanallar üzerinden gündeme getirmektir.” dedi.

5. Yanlış bilinen doğrular

Bulut hizmeti artık mümkün değil: Bu tür yorumlar doğru değil. Hem KVK Kurumu hem de bulut hizmet sağlayan şirketler gereklilikleri yerine getirmesi durumunda bulut hizmeti yasalara uygun şekilde devam eder.

Çalışanların açık rızası yeterli: Çalışanlarınızdan açık rıza almanız sadece çalışanların kişisel verilerinin yurtdışına aktarımı için geçerli olabilir. Oysa şirket operasyonlarıyla ilgili neredeyse bütün bilgiler, e-postadan geçmektedir.  

Sadece e-posta hizmeti etkilenecek: Kurum’un kararı sadece e-posta ile sınırlı değil. Her türlü veri saklama, depolama ve yedekleme servisleri de yurtdışında alınıyorsa ve bu servisler içerisinde kişisel veri bulunuyorsa veriyi yurt dışına aktarmış kabul ediliyorsunuz.