Kişisel Verilerin Türkiye’de Bulundurulması

Kişisel Verilerin Korunması Kanunu’nun (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmesiyle birlikte 2 yıllık uyum sürecinde gerek veri sağlayıcıları gerekse veri işleyenler alt yapılarını ve faaliyetlerini mevzuata uygun hale getirmeye çalışmışlardır.

Yürürlüğe giren KVKK mevzuatının amacı, kişisel verilerin işlenmesi süreçlerinde özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini koruma altına almaktır. Bu amacı gerçekleştirmek için kişisel verileri işleyen gerçek ve tüzel kişilerin faaliyetlerini düzenlemekte; veri işleyenleri ve veri sağlayıcılarını belli yükümlülüklere bağlayarak sorumluluk alanlarını ve faaliyetlerinin sınırlarını belirlemektedir.

KVKK ile hayatımıza giren düzenlemeler arasında önem arz eden konulardan biri de kişisel verilerin Türkiye’de bulundurulması hususudur. Kişisel verilerin Türkiye’de muhafazasını irdelemeden önce “kişisel veri” kavramının ne olduğunu tanımlamakta fayda görüyoruz.

Kişisel veri, kimliği belirli yahut belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Bir verinin kişisel veri olarak addedildiği iki durum bulunmaktadır. Bu durumlar, verinin bir gerçek kişiye (insana) ait olması ya da kişinin belirli veya belirlenebilir nitelikte olmasıdır.

YouTube video

Kişisel veriler, bir insana ait olabilecek her türlü bilgidir. Bir insanın adı, soyadı, doğum yeri, doğum tarihi, telefon numarası, araç plakası, sosyal güvenlik numarası, pasaport numarası, kimlik numarası, özgeçmişi, fotoğrafı, video ve ses kayıtları, parmak izleri, e-posta adresi, sosyal medya hesapları, internet sitesi üyelikleri, aile bilgileri, sağlık bilgileri gibi çok geniş yelpazedeki bilgilerdir.

Kişisel veri olarak sıralanan tüm bu verilerin bir gerçek kişi için ne anlam ifade ettiği nazara alındığında kişisel verilerin Türkiye’de bulundurulması hususunun önemi ortaya çıkmaktadır.

Öte yandan Kişisel Verileri Koruma Kurulu 31 Mayıs 2019 tarihinde aldığı bir kararla, yurt dışı kaynaklı pazarlama faaliyeti yürüten, kurumsal mail hizmetini Google ve Yandex gibi verilerini yurt dışındaki sunucularında (server) saklayan firmalardan hizmet alan kurumların işlerini zorlaştırmıştır.

Bir firmanın Kişisel Verileri Koruma Kurulu’na müracaat ederek, kurumsal e-posta hizmetlerinin Gmail üzerinden kullanılıp kullanılamayacağı hususundaki sorusu üzerine Kurul şu yönde bir karara varmıştır.

“Google firmasına ait Gmail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ‘Kişisel verilerin yurt dışına aktarılması’ başlıklı 9’uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine;

Server’ları yurt dışında bulunan veri sorumlularından / veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9’uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine…”

Söz konusu kararda, sunucuları yurtdışında bulunan firmalardan kurumsal e-posta hizmeti alacak olan kurumların öncelikle ilgili maddedeki şartları yerine getirmesi isteniyor. Maddede özetle, kurumsal e-posta adresi kullanan ya da kurumsal bir e-posta adresine gönderim yapan herkesin açık rızasının alınması isteniyor ki, bu şartı yerine getirmek oldukça zor.

E-posta sunucusu, Kurul’un güvenli ülke olarak ilan ettiği ülkelerden birinde bulunuyorsa açık rıza aranmıyor. Fakat halihazırda Kurul’un güvenli ülke ilan ettiği herhangi bir ülke de bulunmuyor. ABD ve Rusya gibi Google ve Yandex’in merkezi olan ülkelerin güvenli ülke ilan edilmesi de sorunu çözmüyor. Çünkü internet dünyasında tekel konumundaki Google, sunucularındaki verileri ABD haricindeki çeşitli ülkelerde de sakladığından şirket merkezlerinin bulunduğu ülkelerin güvenli ilan edilmesi pek bir anlam ifade etmiyor.

YouTube video

Son olarak yurt dışında sunucusu bulunan firmanın ve ülkenin veri güvenliği konusunda yeterli koruma sağlayacağına dair taahhütte bulunması gerekiyor.

Mevzuatın gerektirdiği şartlar nedeniyle şirketlerin KVKK’ya uygun olarak yurt dışındaki sunucularda verilerini muhafaza etmesi mümkün görünmüyor. Bu durum, şirketlerin, sunucuları yurt içinde bulunan e-posta pazarlama firmalarından hizmet almasını gerekli kılıyor.

Comments are closed.