Kuruma gelen ve e-posta sunucularının kullanımıyla ilgili görüş talep eden yazıda, kurumsal e-posta adreslerinin Google servisleri üzerinden kullanılıp kullanılmayacağı sorulması üzerine Kurumun açıkladığı karar özetinde, her ne kadar Google üzerinde durulmuş olsa da Microsoft, Amazon üzere yabancı öbür bulut hizmeti sağlayıcılarını da etkileyen unsurların yanı sıra kurumsal e-posta hizmeti kullanan şirketleri de ilgilendiren unsurlar var.
siberbulten.com’da yer alan habere nazaran; yeni düzenlemelere nazaran bulut hizmeti, şirketlerin yasal zorunluluklarını yerine getirdikten sonra kullanılabilecek.
KVK Kurumunun ilgili karar özeti hakkında bilmeniz gerekenler:
1. E-posta hizmet altyapısının yabancılardan alınması yurtdışına bilgi transferine girer
Karar özetinde ‘Google firmasına ilişkin G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan bilgi merkezlerinde tutulması kelam konusu olacağından, bu türlü bir durumda şahsî bilgilerin yurt dışına aktarılmış olacağına’ sözü yer aldı.
KİŞİSEL DATALAR YURT DIŞINA AKACAK
Konuyla ilgili görüşlerine başvurduğumuz KP Data Danışmanlığı kurucusu Mehmet Ali Köksal, KVK Kurumu’nun yabancı bulut hizmeti sağlayıcılarından e-posta sunucusu hizmeti alınmasını ‘Kişisel dataların yurt dışına aktarılması’ olarak değerlendirmesinin isabetli olduğunu söyledi. Deneyimli hukukçu, karar özetinde yer alan isabetli değerlendirmenin yanında hem KVK Kurumunun hem de bulut hizmeti sağlayan yabancı şirketlerin atması gereken adımlar olduğuna dikkat çekti.
2. Data muhafaza kanunlarıyla dataların korunduğu yerler muhakkak hale geldi
Bahse bahis karar özetinde, e-posta hizmeti altyapısı kullanılan yabancı şirketin (bu karar özeti için Google) gönderilen ve alınan e-postaları dünyanın çeşitli yerlerinde bulunan data merkezlerinde tutacağı için bilgi sorumlularının KVKK’nın ‘kişisel dataların yurt dışına aktarılması’ başlıklı 9. Unsuruna nazaran hareket etmesi gerektiğine dikkat çekildi.
Karar özetinde yer alan ‘dünyanın çeşitli yerlerinde’ tabirini ‘konuyu basitleştirici’ bulan Mehmet Ali Köksal, bilgi muhafaza düzenlemeleriyle birlikte dünyanın önde gelen şirketlerinin artık dataları sakladığı merkezlerinin yerlerinin genel olarak muhakkak olduğuna dikkat çekerek “Bu nedenle şimdi yeni olgunlaşmaya başlayan data müdafaa kültürümüzde KVK Kurumu’nun daha ihtimamlı olması yol göstericilik açısından çok daha kritik diye düşünüyorum.” sözlerini kullandı.
3. Kurum inançlı ülkeler listesi yayınlamalı
Kanunun ‘verilerin yurt dışına aktarımı’ ile ilgili 9. Hususunda, ferdî dataların yabancı ülkelere aktaraımı ile ilgili kimi koşullar aranmaktadır. Bu koşulların başında ‘açık rıza’ bulunurken; bilgilerin aktarıldığı yabancı ülkede ‘yeterli müdafaanın bulunması’ yahut ‘yabancı ülkedeki data sorumlusunun kâfi muhafazayı yazılı olarak taahhüt etmesi’ ve ‘Kurum’un müsaadesinin bulunması’ kurallarıyla data transferini mümkün kılıyor. Tıpkı hususta Kurum’un ‘yeterli muhafazanın bulunduğu ülkeler Şuraca belirlenerek ilan edilir’ hususu de bulunuyor. Öteki bir deyişle, Kurum’un e-posta hizmet altyapısı veren yabancı şirketler ile ilgili kararı vermeden evvel bilgi muhafaza sistemlerinin hangi ülkelerde kâfi olduğunu açıklaması gerekiyor.
‘Kurum bu bahiste sessiz kalarak bulut servislerinden yararlanan birçok firmayı önemli bir problemle karşı karşıya bırakmıştır.’ diyen Mehmet Ali Köksal, kelamlarına şöyle devam etti: “Kurul’un bu karar özetini yayınlamadan evvel yapması gereken şey, inançlı ülkeler listesini yayınlamaktır ya da ne vakte kadar yayınlamayacağına ait bilgiyi kamuoyu ile paylaşmaktır. Hukukta edimini ifa etmeyen kişinin karşı taraftan edimini ifa etmesini beklemesi birden fazla durumda mümkün değildir. Burada şirketler 6698 sayılı Kanun’dan evvel aldıkları pozisyonu değiştirip, sonra Şura tarafından tekrar karar alındığında yine değiştirebilecek durumda değillerdir. Kurul’un firmaları daha fazla zahmete sokmadan ve sorunu daha fazla derinleştirmeden inançlı ülkeler listesini yayınlaması gerekmektedir.”
4. Kararın özetinin akabinde şirketlerin ne yapması gerekiyor?
Karar özeti her ne kadar onu yayınlayan KVK Kurumu’na yönelik inançlı ülkeler listesi yayınlama beklentisi doğursa da, bulut hizmeti veren yabancı hizmet sağlayıcıların da yapması gerekenler bulunuyor. Köksal’a nazaran, bulut hizmet sağlayıcıların sağlayıcılarının Türkiye pazarında kalmaya devam etmeleri için öncelikle 6698 sy. KVKK’ya uygun biçimde bir kontrat ve münasebetiyle kuralları sunabiliyor olmaları gerekir. Böylelikle hizmeti alan kurum ya da şirkete KVKK’ya uygun zımnilik hukukuna nazaran hizmet alma imkanı doğmuş olacak. Üstelik bu şirketler GDPR’a ahenk sağladıkları için KVKK’ya da ahenk sağlayabilecek standartlara sahipler. Ama ilgili yabancı şirketler değişik bir halde 2016 nisan ayından bu yana hususla ilgil ibir hazırlık yapmamışlardır.
KVK Kurumu ve bulut hizmeti sağlayıcıları ortasında kalan şirketler ise karar özetinden sonra ne yapacakları konusunda uygun bir yol bulmak için çalışmaya başlamış durumdalar. Kesim, KVK kararının ekonomik krizde ayakta kalma savaşı veren firmalar için önemli bir alt yapı değişikliği yapma zaruriliği olarak dönmesinden korkuyor. Şirketlere teklifini sorduğumuz Mehmet Ali Köksal “Şirketlerimizin yapması gereken şey bir taraftan hizmet aldıkları servis sağlayıcıya müracaat yaparak Kurul’un talep ettiği taahhütnameyi imzalamasını talep etmek, öteki taraftan da Kurul’a başvurarak inançlı ülkeler listesini yayınlamasını talep etmek ve Kurum’un bu vazifesini ihlal etmeye devam etmesi durumunda mevzuyu basın yahut öteki kanallar üzerinden gündeme getirmektir.” dedi.
5. Yanlış bilinen doğrular
Bulut hizmeti artık mümkün değil: Bu cins yorumlar gerçek değil. Hem KVK Kurumu hem de bulut hizmet sağlayan şirketler gereklilikleri yerine getirmesi durumunda bulut hizmeti maddelere uygun formda devam eder.
Çalışanların açık isteği kâfi: Çalışanlarınızdan açık istek almanız yalnızca çalışanların ferdî bilgilerinin yurtdışına transferi için geçerli olabilir. Meğer şirket operasyonlarıyla ilgili neredeyse bütün bilgiler, e-postadan geçmektedir.
Sadece e-posta hizmeti etkilenecek: Kurum’un kararı yalnızca e-posta ile sonlu değil. Her türlü bilgi saklama, depolama ve yedekleme servisleri de yurtdışında alınıyorsa ve bu servisler içerisinde şahsî data bulunuyorsa bilgiyi yurt dışına aktarmış kabul ediliyorsunuz.