KİŞİSEL VERİLERİ KORUMA KURULUNUN GMAİL KARARI IŞIĞINDA VERİLERİN BULUTTA TUTULMASI

İşlenen kişisel verilerin bulut tabanlı hizmetlerde tutulmasının üçüncü şahıslarla paylaşma veya yurt dışına aktarma sayılıp sayılmayacağı, Kişisel Verilerin Korunması Kanunu taslağının yayınlanmasından itibaren bir çok tartışmaya konu oldu ve bu konuda birçok fikir ileri sürüldü. Kimileri -ki bunlar daha çok olaya mühendis gözü ile bakan teknik kişiler-  bulutta veri tutulmasının 3. Şahısa (bulut hizmetini sunan kişi veya kuruma)  aktarma sayılmayacağını çünkü hizmeti verenin müşterisinin verilerini görmediğini, erişemeyeceğini ve bunu da gerek sözleşme ile taahhüt ederek, gerekse teknik önlemleri alarak sağladığını, dolayısıyla bulut hizmeti almanın KVKK ve GDPR kapsamında veri paylaşımı sayılmayacağını iddia ediyordu. Genel olarak daha tedbirli olmaya eğilimli olan ve çoğunluğunu hukukçuların oluşturduğu bir gurup ise, bir aktarma olduğu için bunun KVKK ve GDPR anlamında veri aktarımı olarak yorumlanması gerektiği görüşündeydi. Ben de her ne kadar teknik açıklamalarla ikna olsam da yasa metni yoruma açık olmadığı için bulut hizmeti kullanılmasının aktarma sayılacağını kabul ediyordum.

Kişisel verileri Koruma Kurulu’nun gmail kullanımı ile ilgili bir görüş talebi üzerine yayınladığı yanıt bu tartışmalara en azından uygulamada hangi görüşe uyulması gerektiği bağlamında son verdi. Her ne kadar gerekçesiz de olsa Kurul’un bu konudaki görüşü son derece net. “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.” Şeklinde. Dolayısıyla SaaS, IaaS, PaaS ve muhtelif aaS uygulamalarının sunucuları yurt dışındaysa yurt dışına veri aktarma olarak kabul edileceği kesinlik kazandı.

Burada önemli bir parantez açarak mevzuatın verinin yurt dışına çıkartılmasını yasaklamadığını, sadece belirli kurallara bağladığını hatırlatmak gerek. Bu yüzden bazı kişilerin “büyük şirketlerin bulut hizmetlerini kullanmamak mümkün değil bunu yasaklayamazlar dolayısıyla kısa süre sonra bu yasak kaldırılmak zorundadır” görüşüne katılamıyorum. Çünkü bu karar bulut kullanımını yasaklamıyor, sadece açılanacak güvenli ülkeler listesinde yer almayan ülkelere veri çıkışını özel izne bağlıyor. Bir çok büyük bulut hizmetinde ek ücret ile dahi olsa verinin saklanacağı ülkeyi seçmek mümkün olduğundan aslında bir imkansızlıktan bahsetmek mümkün değil. Sadece ek maliyet var.

Bu aşamada kurulun acilen güvenli ülkeler listesini açıklaması gerek.  Bu liste açıklandığında zaten bu ülkelerde sunucusu olan hizmet sağlayıcılarda veri tutulması serbest olacak. Gsuit, Azure vb sistemleri kullanmak isteyenlerin veri bölgesi olarak bu güvenli ülkeleri seçmeleri – tabii ki veri sahibinden yurt dışına aktarma konusunda rıza almaları koşuluyla- yeterli olacaktır. Tabii ki bu aşamada ilgili veriler içerisinde özel nitelikte veri olup olmadığına da dikkat edilmeli, varsa rıza alınırken bu veriler için de ayrıca açık rıza alınması hususu gözden kaçırılmamalıdır.

Rıza alma konusunda genel prensipler geçerli olmakla birlikte, özellikle e-postaların gmail de tutulması durumunda rızanın nasıl alınabileceği sorunu karşımıza çıkıyor. Özellikle bizimle ilk defa iletişime geçen dolayısı ile diğer kanallardan rıza alınması mümkün olmayan ve e postasında kişisel verisini paylaşan kişiler açısından burada ancak Kanun’un istisnalarına başvurup, kişinin talep ettiği işlemin yapılması için işlemenin (olayımızda e-postanın kaydedilmesinin) yapılmasının zorunlu olması nedeniyle rıza almamız gerekmediği yorumunda bulunulabilir. Bu yorum her ne kadar biraz zorlama bir yorum olsa da, özellikle Kurumun bile çağrı merkezini arayan kişilerden rıza almak yerine bir bilgilendirme notu dinletmekle yetinmesi bize bu yorumu yapmada yardımcı olmaktadır. Yine de gönderilen cevabi e-postalarda kişisel verilerin işlendiği ve yurt dışında sunucusu bulunan çözüm ortağının sunucusunda saklandığı bildirilip, kişiye bu işlemeyi kabul etmiyorsa iletişim kurabileceği iletişim kişisini de bildiren bir dipnot veri sorumlusunun bu konuda mümkün olan özeni göstermiş olduğunu ispatı açısından önemli olacaktır.

Tabii ki buraya kadar yaptığım açıklamalar özel hukuk kişileri için geçerli. Kamu kurumları açısından yayınlanan Cumhurbaşkanlığı genelgesi zaten yurt dışına çıkartılması ile ilgili net bir düzenleme yapıyor. Aynı şekilde bankaların mudi verileri ve sağlık verileri için de özel düzenlemeler bulunduğunu unutmamak gerekecektir.