Kişisel Verileri Koruma Kurulu (KVKK), 2019/125 sayılı bir karar ile e-posta ve diğer hizmetlerin bulut(cloud) olarak yurt dışından alınmasına nokta koydu. Peki bu ne anlama geliyor?
KVKK’na göre bu hizmetleri kullananlar kişisel verileri yurtdışına çıkarmış oluyor!
Peki bu hizmetleri Türkiye’den kimden alacağız? Türkiye’nin 3 büyük operatörü var. Türk Telekom e-posta hizmetine yeni abone almıyor. Turkcell ve Vodafone ise Microsoft’un Office 365 hizmetini satıyorlar ama sunucuların hangi ülkede olduğu yazmamışlar!Peki yerli ve milli bir e-posta hizmeti alabileceğimiz firma yok mu? Elbette hizmetin içeriği ve kalitesi de önemli.
Bu nokta da akla birçok sorular geliyor bu durumda birkaçına soru cevap olarak değinelim;
S: Yurtiçinde barınan e-posta sunucumdaki e-postayı gönderen / alan ve kendi e-posta sunucusu yine yurt içinde olan kişinin ISP’ sinin (internet servis sağlayıcı) benim ISP’im ile olan veri trafiği yurt dışında işlem görüyorsa ne olacak? veri yine yurtdışına mı çıkmış olacak?
Y: Maalesef pratik bir çözüm şu an yok.
S: Açık rızası alınacak desek?
Y: Yani herkesin açık rızasını almanız mümkün değil. Size ilk defa e-posta gönderenden nasıl alacaksınız?
Şu an bu sorun çok yaygın. Yurt içinde host(barındırılan) edilen bir şirketten e-posta hizmeti almak en pratik çözüm.
S: Peki Office365, Gmail nasıl etkilenir?
Y: Office365’ten kasıt e-posta hizmeti. Ama ayrıca OneDrive da karara göre kişisel veri saklanıyorsa açık rızaya dayanmalı!
Yani kurumsal olarak Office 365 kullanan şirketler çalışanlardan rızasını alacak.
Ancak şirketlerin çalışanlarından aldıkları açık rıza, ortada seçenek yok iken alınmışsa geçersizdir.
Yani onlara başka bir e-posta sunucusu kullanma ya da e-posta kullanmama imkanı verilmiyorsa rıza geçersiz.
Bir başka konu da;
S: Şirket çalışanlarından rıza alma kısmını anladık peki tüm Türkiye’ye hizmet veren bir e-ticaret sitesi diyelim.
Müşterilerine e-postalarını gönderirken ve alırken barındırma değil fakat gönderim hizmetini yurtdışından alıyor ise
bu durumda bütün müşterilerinden rıza mı alması gerekiyor?
Y: Kararın son kısmında her ne kadar “saklama” da dese aslında tüm hizmetlerden bahsediliyor.
S: KVKK’nun 2019/125 karar maddesine göre veri sağlayıcının yeterli korumayı sağladıklarını taahhüt etmeleri ve kurul izninin bulunması durumunda bu geçerli midir?
Y: Hizmet sağlayıcının bunu taahhüt etmesi ve Kurul’un bunu onaylaması durumunda elbette buna ihtiyaç kalmıyor.
Ancak şu ana kadar Kurul’a yapılan başvurulardan onaylanan henüz yok!
Hizmet sağlayıcının bu taahhüdü vermesi de pek imkan dahilinde değilim gibi çünkü Kurul çok inceliyor.
S: Rıza almamanın yaptırımı nedir?
Y: 1,4 milyon TL’ye kadar para cezasından bahsediliyor.
S: Office365, Gmail, Yandex vb email hizmetlerini kişisel kullananlar için bu karar geçerlimi?
Y: Hayır kişisel kullanım kurumsal bir sorumluluk getirmediği için bu kapsamın dışında.
S: Çalışanına Microsoft Exchange e-posta hesabı açan şirket otomatik olarak veri sorumlusu/veri işleyen mi oluyor? Neden?
Y: Evet, ancak bu sorun büyük, pratik olarak çözülebilecek bir sorun değil.
Hukuken çözülmesi gerekiyor.
KVKK’nun bulut hizmetleri ile ilgili kararı bir yanda dururken, Microsoft “Türkiye geleceği bulutla yakalayacak” diyor. Microsoft’un bu kanun için ne düşündüğünü henüz bilmiyoruz.
Bazı hukukçular Kurul’un e-posta hizmetinin yurt dışından alımına yasak getirmediğini, bazı şartların sağlanması durumunda bunun mümkün olduğunu söylüyorlar. Ancak oşartları yerine getirebilmek mümkün mü? Bu sorunun henüz yanıtı yok.
Yazının hazırlanmasında Bilgisayar Mühendisi ve İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Av. Hasan Selçuk Turan @avhsturan Tweetlerinden ve görüşlerinden faydalanılmıştır.
Originally posted 2019-08-23 07:47:48.