Kişisel Verilerin Korunma Kanun ve Eposta Kullanımı

Kullanmakta olduğunuz ve gmail tarafından gerek ücretli gerekse ücretsiz olarak sağlanan mail altyapısı gmail'in yurtdışında bulunan sunucularında barındırılmakta ve mail trafiği içinde yer alan ve KVKK'ya tabii olan her türlü veri yurtdışına çıkmaktadır. Bu aynı zamanda yahoo-yandex ve Office365 adı altında geçen hizmetler içinde geçerlidir.

Yasal mevzuaat gereği (Kişisel verilerin yurt dışına aktarılması MADDE 9- ) Türkiye'de ilgili firmanın (google) bir veri merkezi açmadığı durumda ilgili platformun kullanılması şuan ki durumda mevzuaata aykırı durumda gözükmektedir. Gmail kullanımında sadece şirket çalışanlarından açık rıza metni alınması süreç için yetersiz olacaktır.  Bu arada kurum’un kararı sadece e-posta ile sınırlı değil. Her türlü veri saklama, depolama ve yedekleme servisleri de yurtdışında alınıyorsa ve bu servisler içerisinde kişisel veri bulunuyorsa veriyi yurt dışına aktarmış kabul edilmektedir. Bu durumda veriyi yedeklemek için Google Drive- Dropbox-One Drive vs. ürünlerin kullanılmasınında gözden geçirilmesi önemli olacaktır. Yine aynı şekilde toplu eposta gönderimi ile işlemsel eposta gönderimi (üyelik-fatura bilgilendirme) de kapsam dahilinde tutulmalıdır.

Yine aynı şekilde KVKK verileri içeren sms-email bilgilendirme maiilleri için verilerin yurtdışı kaynaklarına sftp ya da web servis ile çıkartılması da yapılmaması gereken işlemlerin başında gelmektedir.

Bir Otomotiv firmasının yaşadığı örnek olayın sonucunu aşağıda görebilirsiniz.

Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak yurtdışına veri aktarımı konusunu düzenleyen Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği, dolayısı ile gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,

https://www.kvkk.gov.tr/Icerik/6790/2020-559

Gmail Kullanımı Hakkında

Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine; “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.

 

KVKK MADDE 9

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. / Henüz bu bilgi güncellenmedi

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.