Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kurumsal e-postanın Google (Gmail) üzerinden kullanılmasına ilişkin 2019/157 sayılı ve 31 Mayıs 2019 tarihli kararı (“Karar”) Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurumu’nun (“Kurum”) resmi internet sitesinde 17 Temmuz 2019 tarihinde yayınlanmıştır.
Karar’ın Kapsamı ve Hukuki Analiz
Kurul bir veri sorumlusunun sunucuları yurtdışında bulunan bir şirket tarafından sağlanan kişisel e-posta hizmetinin açık kaynak kodlu e-posta hizmeti aracılığıyla kurumsal e-postalar için kullanılıp kullanılamayacağına dair Kurul’dan görüş talep etmesi üzerine bu Karar’ı vermiştir.
Kurumsal e-postanın Google (Gmail) aracılığıyla /Gmail e-posta hizmeti altyapısı üzerinden kullanılmasına dair Karar aşağıdaki hususları:
- Gmail’in veri merkezlerinin dünyanın çeşitli yerlerinde bulunan farklı ülkelerde bulunması sebebiyle, veri sorumluları tarafından Gmail e-posta hizmetinin tedarik edilmesi vasıtasıyla Gmail e-posta hizmeti altyapısının kullanılması durumunda kişiler tarafından alınan/gönderilen e-postaların kişisel verilerin yurtdışına aktarılması söz konusu olacaktır. Daha açıkça izah etmek gerekirse, (Gmail gibi) sunucuları (veri merkezleri) yurtdışında bulunan hizmet sağlayıcılarından e-posta hizmeti alınmasının Türkiye kişisel verilerin korunması (“KVK”) mevzuatı açısından Türkiye dışına veri aktarımı olarak değerlendirileceği,
- Dolayısıyla, kurumsal e-posta hosting hizmeti için Gmail hizmetini temin eden veri sorumluları 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) kişisel verilerin yurtdışına aktarılmasına ilişkin kurallar ve yükümlülükleri düzenleyen 9. Maddesine uyum sağlamakla yükümlü tutulacağını,
karara bağlamaktadır.
Karar tahtında, Kurul ayrıca (Gmail gibi) sunucuları (“server”ları) yurtdışında bulunan veri sorumlularından temin edilen saklama hizmetlerinin de yurtdışına kişisel veri aktarımını düzenleyen KVKK Madde 9 hükümlerine uygun olarak gerçekleştirilmesine karar vermiştir.
KVKK Madde 9 uyarınca kişisel veriler yalnızca (a) ilgili kişinin açık rızası ile; (b), açık rıza yok ise veya alınması imkansız ise, KVKK’nın 5’inci Maddesinin ikinci fıkrası ile 6’ncı Maddesinin üçüncü fıkrasında belirtilen hukuka uygunluk sebeplerinin varlığı halinde ve aşağıdaki koşullara tabi olmak suretiyle yurtdışına aktarılabilir; şöyle ki, bu hallerde dahi kişisel veriler ancak (i) kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde (yabancı ülkelerce yeterli korumayı haiz olma kriterleri Kurul tarafından belirlenmiş olup ancak Kurul tarafından henüz yeterli korumanın sağlandığı ülkeler listesini ortaya koyan bir karar verilmemiştir); veya (ii) Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin alınması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Geleceğe dair Muhtemel Çıkarımlar ve Uyumluluk Eylemleri
Şüphesiz ki Karar veri sorumluları açısından pek çok pratik ve operasyonel zorluklara sebebiyet verebilecektir; ilgili kişilerden açık rıza alınamaması/ ilgili kişilerin açık rıza vermekten kaçınması olası zorluklardan ilk akla gelen olmakla birlikte, ilgili kişilerin açık rıza vermesi halinde dahi açık rızanın ilgili kişiler tarafından her zaman özgürce geri alınabilir olması da başka bir zorluk olarak ortaya çıkabilir.
Yukarıdaki hususlar düşünüldüğünde, e-posta hosting hizmeti tedarik eden veri sorumluları, Kurul veri korunmasına dair yeterli koruma sağlayan ülkelerin listesini yayınlayana kadar, ilgili yabancı ülkedeki veri sorumluları/veri işleyenler ile yeterli koruma sağlamaya ilişkin taahhütname imzalayarak Kurul’dan izin talep etmelidirler.
