Kurumsal E-Maillerde Google ve Yandex Kullanımı
02/01/2020
Öncelikle KVK Kurumu, Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağına ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar Özeti’nde 6698 Sayılı KVK Kanunun 9. Maddesi uygulanır diyerek, verilerin yurt dışına aktarımındaki kuralların geçerli olacağını karar almış durumdadır. Bu konu Veri Sorumlularının gelecekte çok başını ağrıtacak en önemli KVKK Konularından biri gibi görünüyor.
Bu nedenle, kurumsal işlemlerinizi ücretsiz mail hesaplarından yapmayınız. Gmail, Hotmail, Yandex gibi ücretsiz mailler ile Microsoft Office365 gibi yazılımlar, KVK kurumu tarafından yurtdışına veri aktarımı olarak değerlendirmektedir. Teknik tedbirlerden en çok başınızı ağrıtacak konulardan bir tanesi mail hizmetleridir. Ücretsiz mail adresleri yerine kurumsal mail adreslerini kullandığınız takdirde maillerdeki veri ihlallerini takip etme ve sorgulama imkanınız olacaktır. Aksi takdirde ücretsiz maillerle ilgili kontrol sizlerde olmayacaktır.
Diğer taraftan ,yurt içinde de bu hizmeti alabileceğiz hizmetler bulunmaktadır. Örnek olarak, https://www.kurumsalmail.com.tr, https://www.uzmanposta.com gibi e-mail sunucusu firmalar incelenebilir.
Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar Özeti
Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar Özeti
Karar Tarihi | : 31/05/2019 |
Karar No | : 2019/157 |
Konu Özeti | : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında |
Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,
- Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
- “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine
karar verilmiştir.
Yurtdışına Aktarım
Kanunun 9. maddesine göre yurtdışına veri aktarımı;
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
- Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması
durumlarında gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
A) Yeterli korumanın bulunması halinde
Kişisel veriler;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde yurtdışına aktarılabilmektedir.
Özel nitelikli kişisel veriler ise,
- Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
- Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.
B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;
- Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
- Kurulun izninin bulunması
gerekmektedir.
Bu yazı http://clockandwise.com/ ‘tan KVKK ve GDPR Danışmanı Harun Doğan‘ın Linkedin ‘deki yazıları esas alınarak geliştirilmiştir.