Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
Batuhan AYTAÇ Avukat
[email protected]
29 Temmuz 2019
A-
A+
17 Temmuz 2019, Türkiye’de kişisel verilerin korunması için ilginç bir gün. Bunun sebebi ise yayınlanan Kişisel Verileri Koruma Kurulu (“Kurul”) kararları. Şu ana kadar Kişisel Verileri Koruma Kurulu birçok karar yayınlandı. Peki son yayınlananları ilginç kılan nedir?
Kararların içeriğine ve önemine istinaden bunları kararlarına göre bir yazı dizisiyle açıklamak istedik.
Bunlardan yurt dışına aktarımla ilgili kararla başlayalım:
BÖLÜM 1
YURT DIŞI MERKEZLİ MAİL SUNUCULARINDAN ALINAN E-POSTA HİZMETLERİ KANUNUN YURT DIŞINA AKTARIM KURALLARINA UYMAK ZORUNDA
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) yürürlüğe girdikten sonra en tartışmalı konulardan biri yurt dışına aktarım, bunların arasında da yurt dışı kaynaklı e-posta hizmetlerinin kullanılışıydı. Her ne kadar Kanun’un kişisel verilerin yurt dışı aktarımını düzenleyen 9. maddesi oldukça açık olsa da[1] pratikte tam olarak uygulanamıyordu. Zira mevcut durumda operasyonel olarak yurt dışı merkezli Google, Office 365 gibi e-posta hizmetlerinin sağladığı kolaylığı ve verimliliği sağlayacak bir yurt içi merkezli e-posta hizmeti olmadığı düşünülüyor. Bunun sebebi ise söz konusu şirketlerin bu hizmetlere olan yatırımının fazlalığı ve yıllardır kullanıyor oluşuna dayalı güven.
Kanun yürürlüğe girinceye kadar şirketler de haliyle en çok kullanılan ve uluslararası güvenilirliği olan e-posta hizmetlerini tercih ettiklerinden yerel bir e-posta hizmetine geçmeleri masraf ve operasyonel zorluk yaratabiliyordu. Bu sebeple bir nevi söz konusu maddeyi bu konu su yüzüne çıkana kadar görmezden gelmeyi tercih ediyorlardı. Tabi bunun nedenlerinde biri de 9. maddede sözü geçen “güvenli ülkelere aktarım” istisnası ve güvenli ülkelerin belirleneceğine olan inançtı. Bu zamana kadar Kurul’un bu ülkeleri hangi kriterlere göre belirleyeceğine dair yayınladığı Karar dışında bir gelişme olmadı. Bu kriterler açısından ise, şu an için en önemli sorun, “karşılılık” prensibi gibi gözüküyor.
Hal bu olacak ki, yurt dışı bazlı e-posta hizmeti kullanmak isteyen bir veri sorumlusu, bu belirsizliği gidermek amacıyla Kurul’a başvuruyor ve belki de beklediği sonucu alamıyor.
Kurul, bu başvurunun sonunda verdiği 2019/157 sayılı kararında uygulamanın Kanun’un 9. maddesi çerçevesinde kullanılması gerektiğini iletiyor. Karşılığında bir ceza veya düzeltme tedbiri uygulanmıyor; ancak bunun sebebi başvuran veri sorumlusunun henüz bu hizmetten yararlanmıyor oluşu ve yararlanıp yararlanamayacağı konusunda görüş alması olabilir.
Bu karar dikkate alındığında, yurt dışı merkezli e-posta sunucusu kullanmak isteyen şirketlerin aşağıdaki uygulamaları yapması gerekecek (ama tabi bunları uygulayarak işin içinden çıkmak çok da kolay değil):
Özetle Kurul’un bu kararı Kanun ile uyumlu ve hali ile böyle bir soru karşısında beklenen bir cevap olsa da şu anda 9. madde çerçevesindeki yurt dışına aktarım uygulamaları pek de iç rahatlatan türden değil. Güvenli ülkeler bir an önce ilan edilmeden veya taahhütnameler e-posta hizmeti sağlayıcılarına imzalatılıp Kurulca onaylanmadan veri sorumluları rahat nefes alınamayacak gibi görünüyor.
Önerilerimiz:
[1] Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
…
[2] GDPR Article 46/2
(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);
(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);
Yayınlara dön